Huisvesting Informatievoorzieningen Beleid

Uit NORA Online
ISOR:BIO Thema Huisvesting Informatievoorziening Beleid
Naar navigatie springen Naar zoeken springen
Versie 2.0 van 25 januari 2021 van de BIO Thema-uitwerking Huisvesting Informatievoorzieningen is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Deze informatie is onderdeel van BIO Thema-uitwerking Huisvesting Informatievoorzieningen.

Meer lezen

BIO Thema-uitwerking Huisvesting Informatievoorzieningen
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR (Information Security Object Repository)

Doelstelling[bewerken]

De doelstelling van huisvesting Informatievoorzieningen (IV) in het beleidsdomein is om randvoorwaarden en condities te bieden, zodat huisvesting IV adequaat kan functioneren. Hiermee kan de juiste ondersteuning worden geleverd voor het bereiken van de afgesproken doelstellingen. In dit hoofdstuk worden de objecten en daaraan gerelateerde normen opgenomen, die het mogelijk maken huisvesting IV-omgevingen op een veilige manier te laten functioneren. De objecten in dit beleidsdomein bieden de organisatie kaders op basis waarvan de beveiliging van huisvesting IV moet plaatsvinden.

Risico's[bewerken]

Als een door het management uitgevaardigd beleid over huisvesting IV ontbreekt, dan ontstaat het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van huisvesting IV, met als gevolg bijvoorbeeld schade aan bedrijfsmiddelen en ongeautoriseerde toegang tot gegevens.

Objecten, controls en maatregelen

Binnen het beleidsdomein worden maatregelen opgenomen die gerelateerd zijn aan bepaalde beveiligingsobjecten. Per object worden conformiteitindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van maatregelen. De objecten die binnen dit domein een rol spelen, zijn in onderstaande afbeelding vermeld. Van de geel gemarkeerde objecten komen de controls uit de Baseline Informatiebeveiliging Overheid (BIO).


”Afbeelding: Onderwerpen die binnen het Beleid domein een rol spelen”
Overzicht objecten voor huisvesting IV in het beleidsdomein


Principes uit de BIO Thema Huisvesting Informatievoorziening binnen dit aspect[bewerken]

IDPrincipeCriterium
HVI_B.01Huisvesting informatievoorzieningenbeleidTen behoeve van het huisvesting IV-beleid behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.
HVI_B.02Wet- en regelgeving Huisvesting IVAlle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de huisvesting informatievoorzieningen (IV)-organisatie om aan deze eisen te voldoen behoren voor elke huisvestingsdienst en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
HVI_B.03Eigenaarschap Huisvesting IVHuisvesting IV-bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden, behoren een eigenaar te hebben.
HVI_B.04CertificeringHuisvesting IV van de leverancier behoort gecertificeerd te zijn conform de gangbare standaarden.
HVI_B.05ContractmanagementHuisvesting IV die worden verworven, behoren te voldoen aan kwalitatieve en kwantitatieve eisen die zijn vastgelegd in overeenkomsten met de betreffende leveranciers.
HVI_B.06Service Level ManagementHet management van huisvesting IV behoort diensten te leveren conform een dienstenniveau-overeenkomst (Service Level Agreement).
HVI_B.07In- en externe bedreigingenTegen natuurrampen, kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden ontworpen en toegepast.
HVI_B.08Training en bewustwordingAlle medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie.
HVI_B.09Organisatiestructuur huisvesting IVDe huisvesting IV-organisatie behoort voor de te realiseren huisvesting IV een adequate organisatiestructuur in te richten en de aan functionarissen toe te wijzen taken, verantwoordelijkheden en bevoegdheden vast te stellen.

Normen uit de BIO Thema Huisvesting Informatievoorziening binnen dit aspect[bewerken]

IDStellingNorm
HVI_B.01.01De organisatie heeft een huisvesting Informatievoorzieningen (IV)-beleid opgesteld dat:
  • doelstellingen en principes van de huisvesting IV-beveiliging bevat;
  • specifieke verantwoordelijkheden en rollen bevat;
  • processen voor het behandelen van afwijkingen en afzonderingen bevat;
  • procesmatig tot stand komt, bijvoorbeeld: voorbereiden, ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en aanpassen.
Er is een huisvesting informatievoorzieningenbeleid
HVI_B.01.02Beleidsregels over het huisvesting informatievoorzieningen (IV)-beleid behandelen eisen die voortkomen uit:
  • Bedrijfsstrategie
  • Wet- en regelgeving
  • Huidige en verwachte bedreigingen op huisvesting IV
  • Beleidsregels huisvesting informatievoorzieningen
    HVI_B.01.03Beleidsregels zijn gerelateerd aan specifieke onderwerpen over huisvesting informatievoorzieningen (IV), zoals:
  • Fysieke beveiligingszone
  • Fysieke toegangsbeveiligingspersoneel
  • Beleidsregels verwijzen naar specifieke huisvesting onderwerpen
    HVI_B.02.01De verantwoordelijke voor de huisvesting informatievoorzieningen (IV)-organisatie stelt vast welke wetgeving van toepassing is voor huisvesting-IV.Vaststellen toepasselijkheid wetgeving
    HVI_B.02.02Het huisvesting informatievoorzieningen (IV)-beleid waarover de huisvesting IV-organisatie en de klant overeenstemming hebben bereikt, is mede gerelateerd aan alle relevante en specifiek geldende wet- en regelgeving en contractuele verplichtingen.Klant en organisatie hebben overeenstemming over wet- en regelgeving en contractuele verplichtingen
    HVI_B.03.01Personen of afdelingen, die door de directie verantwoordelijk zijn gesteld voor de levenscyclus van een huisvesting informatievoorzieningen (IV)-bedrijfsmiddel, zijn als eigenaar benoemd.Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd
    HVI_B.03.02Het eigenaarschap van een huisvesting informatievoorzieningen (IV)-bedrijfsmiddel wordt toegekend bij het ontstaan en of bij de verwerving van het middel.Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel
    HVI_B.03.03De eigenaar van het huisvesting informatievoorzieningen (IV)-bedrijfsmiddel is verantwoordelijk voor het juiste beheer gedurende de gehele levenscyclus ervan.De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus
    HVI_B.03.04De eigenaar van het bedrijfsmiddel zorgt ervoor dat:
  • bedrijfsmiddelen geïnventariseerd worden;
  • bedrijfsmiddelen passend worden geclassificeerd;
  • toegangsbeperkingen en classificatie van belangrijke bedrijfsmiddelen worden gedefinieerd, en periodiek beoordeeld;
  • bedrijfsmiddelen met juiste procedures worden verwijderd of vernietigd.
  • Inventariseren, classificeren, verwijderen en vernietigen bedrijfsmiddellen
    HVI_B.04.01De gangbare principes rondom 'Security by design' zijn uitgangspunt voor de ontwikkeling van software en systemen.Gangbare principes zijn uitgangspunt voor de ontwikkeling van software en systemen
    HVI_B.04.02Huisvesting informatievoorzieningen (IV) die ingezet wordt voor de organisatie is minimaal ISO 27001 (Managementsystemen voor informatiebeveiliging) en ISO 50001 (Energiemanagement) gecertificeerd.Certificeringseisen van de ingezette Huisvesting Informatievoorziening
    HVI_B.05.01De eisen en specificaties voor huisvesting informatievoorzieningen (IV) zijn onderdeel van het eisenpakket dat is opgesteld bij de verwerving van de voorzieningen.Het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties
    HVI_B.05.02Het verwerven van huisvesting informatievoorzieningen (IV) vindt uitsluitend plaats met een overeenkomst of andere formele afspraak.Verwerven huisvesting IV-voorzieningen met afspraak of overeenkomst
    HVI_B.05.03De bij Service Level Agreements (SLA’s) en Dossier Afspraken en Procedures (DAP’s) betrokken rollen Contractmanagement en Service Level Management zijn vastgelegd.Vastleggen betrokken rollen Contractmanagement en Service Level Management
    HVI_B.05.04Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in Service Level Agreement (SLA’s) en Dossier Afspraken en Procedures (DAP’s).Afspraken contractueel vastgeleggen in SLA’s en DAP’s
    HVI_B.05.05De levering van voorzieningen wordt periodiek geëvalueerd door een onafhankelijke partij.Evalueren levering van voorzieningen
    HVI_B.06.01De huisvesting IV-organisatie heeft de te leveren diensten en bijbehorende dienstenniveaus beschreven.Beschrijven van de te leveren Huisvestingservices, met bijbehorende service niveau
    HVI_B.06.02Deze dienstenniveaus zijn in lijn met het huisvesting IV- beveiligingsbeleid.De Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting Informatievoorziening
    HVI_B.06.03De dienstenniveaus zijn onder andere gericht op de aspecten: beschikbaarheid, openstelling, vertrouwelijkheid (zonering) en herstel (disaster recovery).De aspecten waarop de Service Levels o.a. zijn gericht
    HVI_B.07.01De organisatie heeft geïnventariseerd welke data en apparatuur bedrijfskritisch zijn.De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn
    HVI_B.07.02Tegen bedreigingen van buitenaf zijn beveiligingsmaatregelen genomen op basis van een expliciete risicoafweging.Tegen externe bedreigingen zijn beveiligingsmaatregelen genomen o.b.v. een expliciete risicoafweging
    HVI_B.07.03Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de kans op gevolgen van rampen veroorzaakt door de natuur en menselijk handelen.Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen
    HVI_B.07.04De aanwezige brandblusapparatuur wordt jaarlijks op geschiktheid gekeurd door de brandweer of een hiertoe erkend keuringsinstituut.De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid
    HVI_B.08.01Binnen huisvesting Informatievoorzieningen (IV) nemen alle medewerkers regelmatig deel aan beveiligingsbewustwording (bijvoorbeeld I-bewustzijn) en trainingsprogramma’s of nemen deel aan workshops hierover.Awareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkers
    HVI_B.08.02Aan de medewerkers wordt regelmatig training (e-learning) aangeboden en zij worden regelmatig op de hoogte gesteld van de ontwikkelingen rond rekencentrumbeveiliging met brochures en nieuwsberichten.Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging
    HVI_B.09.01Binnen de huisvestingsorganisatie hebben de verantwoordelijken voor huisvesting Informatievoorzieningen (IV) een formele positie.De verantwoordelijken voor de Huisvesting-IV hebben een formele positie
    HVI_B.09.02Voor huisvesting Informatievoorzieningen (IV) is een organisatieschema beschikbaar.Er is een Huisvestingsorganisatieschema beschikbaar
    HVI_B.09.03Het organisatieschema toont de rollen/functionarissen binnen de huisvesting Informatievoorzieningen (IV)-organisatie.Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie
    HVI_B.09.04De taken, verantwoordelijkheden en bevoegdheden van de functionarissen binnen huisvesting Informatievoorzieningen (IV) zijn expliciet vastgelegd en belegd.De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd