Huisvesting Informatievoorzieningen Beleid
Versie 2.0 van 25 januari 2021 van de BIO Thema-uitwerking Huisvesting Informatievoorzieningen is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Deze informatie is onderdeel van BIO Thema-uitwerking Huisvesting Informatievoorzieningen.
| ID: | HVI_B |
|---|---|
| Normenkader-aspect | |
| Versie: | 2.3 |
| Status: | Actueel |
| Indeling | |
| Beveiligingsaspect: |
 |
| Invalshoek: | |
Meer lezenbewerken
- → BIO Thema-uitwerking Huisvesting Informatievoorzieningen
- → Alle normenkaders
- → Beveiligingsaspecten
- → Invalshoeken
- → ISOR
Doelstellingbewerken
De doelstelling van het beleidsdomein is het bieden van randvoorwaarden en condities voor het adequaat functioneren van huisvesting IV. In dit hoofdstuk worden de objecten en daaraan gerelateerde normen opgenomen, die het mogelijk maken huisvesting IV-omgevingen op een veilige manier te laten functioneren. De objecten in dit beleidsdomein bieden de organisatie kaders op basis waarvan de beveiliging van huisvesting IV moet plaatsvinden.
Risico'sbewerken
Als een door het management uitgevaardigd beleid over huisvesting IV ontbreekt, is het risico dat er onvoldoende sturing wordt gegeven aan de veilige inrichting van huisvesting IV. Het gevolg is bijvoorbeeld schade aan bedrijfsmiddelen en ongeautoriseerde toegang tot gegevens.
Objecten, controls en maatregelen
Binnen het beleidsdomein worden maatregelen opgenomen die gerelateerd zijn aan bepaalde beveiligingsobjecten. Per object worden conformiteitsindicatoren uitgewerkt. Deze conformiteitsindicatoren representeren een vast te stellen set van maatregelen. De objecten die binnen dit domein een rol spelen, zijn vermeld in tabel 1. De geel gemarkeerde controls komen uit de BIO2. De witte controls komen niet voor in de BIO maar zijn wel noodzakelijk voor deze BIO Thema-uitwerking.
Principes uit de BIO Thema Huisvesting Informatievoorziening binnen dit aspectbewerken
| ID | Principe | Criterium |
|---|---|---|
| HVI_B.01 | Huisvesting informatievoorzieningenbeleid | Ten behoeve van het huisvesting IV-beleid behoort een reeks onderwerpspecifieke beleidsregels te worden gedefinieerd, goedgekeurd door het management, gepubliceerd, gecommuniceerd aan en erkend door relevant personeel en relevante belanghebbenden en met geplande tussenpozen en als zich significante wijzigingen voordoen, te worden beoordeeld. |
| HVI_B.02 | Wettelijke statutaire, regelgevende, contractuele eisen | Alle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de huisvesting IV-organisatie om aan deze eisen te voldoen behoren voor elke huisvestingsdienst en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden. |
| HVI_B.03 | Eigenaarschap Huisvesting IV | Er behoort een inventarislijst van informatie en andere gerelateerde Huisvesting IV-bedrijfsmiddelen, met inbegrip van de eigenaren, te worden opgesteld en onderhouden. |
| HVI_B.04 | Certificering | Huisvesting IV van de leverancier behoort gecertificeerd te zijn conform de gangbare standaarden. |
| HVI_B.05 | Contractmanagement | Huisvesting IV behoort te voldoen aan kwalitatieve en kwantitatieve eisen die zijn vastgelegd in overeenkomsten met de betreffende leveranciers. |
| HVI_B.06 | Service Level Management | Het management van huisvesting IV behoort diensten te leveren volgens een dienstenniveau-overeenkomst (DNO). |
| HVI_B.07 | In- en externe bedreigingen | Er behoort bescherming tegen fysieke en omgevingsdreigingen, zoals natuurrampen en andere opzettelijke of onopzettelijke fysieke dreigingen voor de infrastructuur, te worden ontworpen en geïmplementeerd. |
| HVI_B.08 | Training en bewustwording | Alle medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie. |
| HVI_B.09 | Organisatiestructuur huisvesting IV | De huisvesting IV-organisatie behoort voor de te realiseren huisvesting IV een adequate organisatiestructuur in te richten en de aan functionarissen toe te wijzen taken, verantwoordelijkheden en bevoegdheden vast te stellen. |
Normen uit de BIO Thema Huisvesting Informatievoorziening binnen dit aspectbewerken
| ID | Stelling | Norm |
|---|---|---|
| HVI_B.01.01 | De organisatie heeft een huisvesting IV-beleid opgesteld dat:
| Er is een huisvesting informatievoorzieningenbeleid |
| HVI_B.01.02 | Beleidsregels over het huisvesting IV-beleid behandelen eisen die voortkomen uit:
| Beleidsregels huisvesting informatievoorzieningen |
| HVI_B.01.03 | Beleidsregels zijn gerelateerd aan specifieke onderwerpen over huisvesting IV, zoals:
| Beleidsregels verwijzen naar specifieke huisvesting onderwerpen |
| HVI_B.02.01 | De organisatie identificeert, beoordeelt en documenteert welke wettelijke, statutaire, regelgevende en contractuele eisen van toepassing zijn op de huisvesting IV. De verantwoordelijke voor de huisvesting IV stelt vast hoe deze eisen worden nageleefd binnen de huisvesting en legt dit vast. | Vaststellen toepasselijkheid wetgeving |
| HVI_B.02.02 | Het huisvesting IV-beleid waarover de huisvesting IV-organisatie en de klant overeenstemming hebben bereikt, is mede gerelateerd aan alle relevante en specifiek geldende wet- en regelgeving en contractuele verplichtingen. | Klant en organisatie hebben overeenstemming over wet- en regelgeving en contractuele verplichtingen |
| HVI_B.03.01 | Personen of afdelingen, die door de directie verantwoordelijk zijn gesteld voor de levenscyclus van een huisvesting IV-bedrijfsmiddel, zijn als eigenaar benoemd. | Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd |
| HVI_B.03.02 | Het eigenaarschap van een huisvesting IV-bedrijfsmiddel wordt toegekend bij het ontstaan en bij de verwerving van het middel. | Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel |
| HVI_B.03.03 | De eigenaar van het huisvesting IV-bedrijfsmiddel is verantwoordelijk voor het juiste beheer gedurende de gehele levenscyclus ervan. | De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus |
| HVI_B.03.04 | De eigenaar van het bedrijfsmiddel zorgt ervoor dat:
| Inventariseren, classificeren, verwijderen en vernietigen bedrijfsmiddellen |
| HVI_B.04.01 | De gangbare principes rondom 'Security by design' zijn uitgangspunt voor de ontwikkeling van Huisvesting IV. | Gangbare principes zijn uitgangspunt voor de ontwikkeling van software en systemen |
| HVI_B.04.02 | Huisvesting IV die ingezet wordt voor de organisatie is minimaal ISO 27001 (Managementsystemen voor informatiebeveiliging) en ISO 50001 (Energiemanagement) gecertificeerd. | Certificeringseisen van de ingezette Huisvesting Informatievoorziening |
| HVI_B.05.01 | De eisen en specificaties voor huisvesting IV zijn onderdeel van het eisenpakket dat is opgesteld bij de verwerving van de voorzieningen. | Het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties |
| HVI_B.05.02 | Het verwerven van huisvesting IV vindt uitsluitend plaats op basis van een overeenkomst of andere formele afspraak. | Verwerven huisvesting IV-voorzieningen met afspraak of overeenkomst |
| HVI_B.05.03 | De bij DNO’s en Dossier Afspraken en Procedures (DAP’s) betrokken rollen Contractmanagement en Service Level Management zijn vastgelegd. | Vastleggen betrokken rollen Contractmanagement en Service Level Management |
| HVI_B.05.04 | Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in DNO’s en DAP’s. | Afspraken contractueel vastgeleggen in SLA’s en DAP’s |
| HVI_B.05.05 | De levering van voorzieningen wordt periodiek geëvalueerd door een onafhankelijke partij. | Evalueren levering van voorzieningen |
| HVI_B.06.01 | De huisvesting IV-organisatie heeft de te leveren diensten en bijbehorende dienstenniveaus beschreven. | Beschrijven van de te leveren Huisvestingservices, met bijbehorende service niveau |
| HVI_B.06.02 | Deze dienstenniveaus zijn in lijn met het huisvesting IV- beveiligingsbeleid. | De Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting Informatievoorziening |
| HVI_B.06.03 | De dienstenniveaus zijn onder andere gericht op de aspecten: beschikbaarheid, openstelling, vertrouwelijkheid (zonering) en herstel (disaster recovery). | De aspecten waarop de Service Levels o.a. zijn gericht |
| HVI_B.07.01 | De organisatie heeft geïnventariseerd welke data, systemen en apparatuur bedrijfskritisch zijn en welke impact een verstoring hiervan zou hebben. | De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn |
| HVI_B.07.02 | Op basis van een expliciete risicoafweging zijn passende beveiligingsmaatregelen genomen om bedrijfskritische data, systemen en apparatuur te beschermen tegen natuurrampen, kwaadwillige aanvallen en ongevallen. | Tegen externe bedreigingen zijn beveiligingsmaatregelen genomen o.b.v. een expliciete risicoafweging |
| HVI_B.07.03 | Bij de huisvesting van bedrijfs kritische middelen wordt rekening gehouden met de kans op en de gevolgen van rampen die worden veroorzaakt door natuur, menselijk handelen of technische storingen. | Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen |
| HVI_B.07.04 | De aanwezige brandblusapparatuur wordt jaarlijks op geschiktheid gekeurd door de brandweer of een hiertoe erkend keuringsinstituut. | De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid |
| HVI_B.08.01 | Binnen huisvesting IV nemen alle medewerkers regelmatig deel aan trainingsprogramma’s over beveiligingsbewustwording of aan workshops hierover. | Awareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkers |
| HVI_B.08.02 | Aan de medewerkers wordt regelmatig training (e-learning) aangeboden en zij worden regelmatig op de hoogte gesteld van de ontwikkelingen rond rekencentrumbeveiliging met brochures en nieuwsberichten. | Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging |
| HVI_B.09.01 | Binnen de huisvestingsorganisatie hebben de verantwoordelijken voor huisvesting IV een formele positie. | De verantwoordelijken voor de Huisvesting-IV hebben een formele positie |
| HVI_B.09.02 | Voor huisvesting IV is een organisatieschema beschikbaar. | Er is een Huisvestingsorganisatieschema beschikbaar |
| HVI_B.09.03 | Het organisatieschema toont de rollen/functionarissen binnen de huisvesting IV-organisatie. | Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie |
| HVI_B.09.04 | De taken, verantwoordelijkheden en bevoegdheden van de functionarissen binnen huisvesting IV zijn expliciet vastgelegd en belegd. | De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd |
Ga naar de gebruikerspagina van Gebruiker:GvdB
Contact: +31611307897 (Signal)
Gewijzigd:
2 juni 2026 12:16:50
Verplichting: Informatief
Beheerregime:
Fase: Beheerfase
28 mei 2018 15:39:00
2 juni 2026 12:16:50
46
Informatief
2 maart 2026
