Huisvesting Informatievoorziening Beleidsdomein

Uit NORA Online
ISOR:BIO Thema Huisvesting Informatievoorziening Beleid
Ga naar: navigatie, zoeken
De BIO themadocumenten zijn levende documenten, die van tijd tot tijd een update krijgen. Wijzigingen die geïmplementeerd worden in Q4 2019:
  • Het BIO Thema logische toegangsbeveiliging is opgevolgd door BIO Thema Toegangsbeveiliging. Dit kader is ruimer dan alleen logische toegangsbeveiliging. Een deel van de inhoud van het oude thema komt terug in het nieuwe, de resterende pagina's vervallen en worden niet meer bijgehouden.
  • De Privacy Baseline krijgt een nieuwe versie.
Deze informatie is onderdeel van BIO Thema Huisvesting Informatievoorziening.

Meer lezen

BIO Thema Huisvesting Informatievoorziening
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

Binnen het Beleid domein worden maatregelen opgenomen die gerelateerd zijn aan bepaalde generieke objecten. Per generiek object worden conformiteitindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van maatregelen. De onderwerpen die binnen dit domein een rol spelen, zijn in onderstaande tabel en afbeelding vermeld.

Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Huisvesting Informatievoorziening. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen.

”Onderwerpen die binnen het Beleid domein een rol spelen”
Onderwerpen die binnen het Beleid domein een rol spelen


Nr Objecten Referentie
B.01 Huisvesting Informatievoorziening beleid 27002:5.1.1
B.02 Wet en regelgeving 27002:18.1.1
B.03 Eigenaarschap 27002:8.1.2
B.04 Certificering UitSIVA analyse, ITIL
B.05 Contract management UitSIVA analyse, ITIL
B.06 Servicelevelmanagement UitSIVA analyse, ITIL
B.07 Interne en externe bedreigingen 27002:11.1.4
B.08 Training en awareness 27002:7.2.2
B.09 Organisatiestructuur UitSIVA analyse
TABELNAAM

Risico

Als een door het management uitgevaardigd beleid betreffende de Huisvesting Informatievoorziening ontbreekt, dan ontstaat het risico dat onvoldoende sturing wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de veilige inrichting van een Huisvesting Informatievoorziening, met als gevolg schade aan bedrijfsmiddelen en ongeautoriseerde toegang tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd.

Doelstelling

De doelstelling van het Beleid domein, waarin beleidsobjecten zijn opgenomen, is om randvoorwaarden en condities te bieden, zodat de Huisvesting Informatievoorziening adequaat kan functioneren. Hiermee kan de juiste ondersteuning worden geleverd voor het bereiken van de afgesproken doelstellingen. In dit hoofdstuk worden de objecten, en daaraan gerelateerde normen opgenomen, die het mogelijk maken de Huisvesting Informatievoorziening omgevingen op een veilige manier te laten functioneren. De generieke objecten in dit Beleid domein biedt de organisatie kaders op basis waarvan de beveiliging van Huisvesting Informatievoorziening moet plaatsvinden.

Principes uit de BIO Thema Huisvesting Informatievoorziening binnen dit aspect

IDprincipeCriterium
Huisv_B.01Huisvesting informatievoorziening BeleidDe directie behoort ten behoeve van Huisvesting Informatievoorziening beleid een reeks beleidsregels te definiëren, goed te keuren, te publiceren en te communiceren aan medewerkers en relevante externe partijen.
Huisv_B.02Wet en regelgevingVoor elke Huisvestingsdienst behoren alle relevante wettelijke statutaire, regelgevende en contractuele eisen en de aanpak van de Huisvestingsorganisatie om aan deze eisen te voldoen expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
Huisv_B.03EigenaarschapHuisvesting Informatievoorziening bedrijfsmiddelen behoren in het inventarisoverzicht te worden bijgehouden en behoren een eigenaar te hebben.
Huisv_B.04CertificeringDe Huisvesting Informatievoorziening van de leverancier behoort gecertificeerd te zijn conform de gangbare standaarden.
Huisv_B.05ContractmanagementHuisvestingsvoorzieningen die worden verworven, behoren te voldoen aan kwalitatieve en kwantitatieve eisen die zijn vastgelegd in overeenkomsten met de betreffende leveranciers.
Huisv_B.06Service LevelmanagementHet management van Huisvesting Informatievoorziening behoort diensten te leveren conform een dienstenniveau overeenkomst (Service Level Agreements of SLA).
Huisv_B.07Interne en Externe bedreigingenFysieke bescherming behoort te worden ontworpen en toegepast tegen natuurrampen, ongelukken en kwaadwillige aanvallen.
Huisv_B.08Training en AwarenessAlle medewerkers van de organisatie en contractanten behoren, voor zover relevant voor hun functie, een passende bewustzijnsopleiding en -training te krijgen, gevolgd door regelmatige bijscholing van de beleidsregels en procedures van de organisatie.
Huisv_B.09OrganisatiestructuurDe Huisvestingsorganisatie behoort voor de te realiseren Huisvesting Informatievoorziening een adequate organisatiestructuur in te richten en de aan functionarissen toe te wijzen taken, bevoegdheden en verantwoordelijkheden (TBV) vast te stellen.
Huisv_B.10HuisvestingsstructuurDe inrichting van de Fysieke toegangsbeveiliging van de Huisvesting van IV behoort vastgelegd te zijn in een Huisvestingarchitectuur.

Normen uit de BIO Thema Huisvesting Informatievoorziening binnen dit aspect

IDStellingNorm
Huisv_B.01.01De organisatie heeft een Huisvestingsbeleid opgesteld en:
  • bevat doelstellingen en principes van Huisvesting-IV beveiliging;
  • bevat specifieke verantwoordelijkheden en rollen;
  • bevat processen voor het behandelen van afwijkingen en afzonderingen;
  • komt procesmatig tot stand, bijvoorbeeld: voorbereiden, ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en aanpassen.
Aan - door de organisatie opgesteld - Huisvestingsbeleid gestelde eisen
Huisv_B.01.02Beleidsregels inzake Huisvestingsbeleid, behandelen eisen die voorkomen uit:
  • bedrijfsstrategie;
  • wet- en regelgeving;
  • huidige en verwachte bedreigingen op het gebied van Huisvesting-IV.
  • Beleidsregels behandelen uit bedrijfsstrategie wet- en regelgeving en bedreigingen voorkomende eisen
    Huisv_B.01.03Beleidsregels zijn gerelateerd aan specifieke onderwerpen met betrekking tot Huisvesting Informatievoorziening, zoals:
  • fysieke beveiligingszone;
  • fysieke toegangsbeveiliging personeel.
  • Aan specifieke onderwerpen gerelateerde beleidsregels m.b.t. Huisvesting Informatievoorziening
    Huisv_B.02.01De verantwoordelijke voor de Huisvesting Informatievoorziening organisatie stelt vast welke wetgeving van toepassing is voor Huisvesting Informatievoorziening.De voor de Huisvesting Informatievoorziening-verantwoordelijke stelt toepasselijkheid van wetgeving vast
    Huisv_B.02.02Het Huisvesting Informatievoorziening beleid waarover de Huisvesting Informatievoorziening organisatie en de klant overeenstemming hebben bereikt, is mede gerelateerd aan alle relevante en specifiek geldende wet- en regelgeving en contractuele verplichtingen.Klant en organisatie hebben overeenstemming over wet- en regelgeving en contractuele verplichtingen
    Huisv_B.03.01Personen of afdelingen die door de directie verantwoordelijk zijn gesteld voor de levenscyclus van een bedrijfsmiddel zijn als eigenaar benoemd.Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd
    Huisv_B.03.02Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij het ontstaan en/of bij de verwerving van het bedrijfsmiddel.Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel
    Huisv_B.03.03De eigenaar van het bedrijfsmiddel is verantwoordelijk voor het juiste beheer gedurende de gehele levenscyclus van het bedrijfsmiddel.De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus
    Huisv_B.03.04De eigenaar van het bedrijfsmiddel zorgt ervoor dat:
  • bedrijfsmiddelen geïnventariseerd worden;
  • bedrijfsmiddelen passend worden geclassificeerd;
  • toegangsbeperkingen en classificatie van belangrijke bedrijfsmiddelen worden gedefinieerd, en periodiek beoordeeld;
  • bedrijfsmiddelen op basis van juiste procedures worden verwijderd of vernietigd.
  • Op passende wijze inventariseren, classificeren, verwijderen en vernietigen van bedrijfsmiddellen
    Huisv_B.04.01De gangbare principes rondom 'Security by design' zijn uitgangspunt voor de ontwikkeling van software en systemen.ISOR:Gangbare principes zijn uitgangspunt voor de ontwikkeling van software en systemen
    Huisv_B.04.02De Huisvesting Informatievoorzieningen die ingezet worden voor de organisatie zijn minimaal gecertificeerd voor de volgende standaarden:
  • ISO 27001 - Informatiebeveiliging;
  • ISO 50001 - Energie-efficiëntie.
  • Certificeringseisen van de ingezette Huisvesting Informatievoorziening
    Huisv_B.05.01De eisen en specificaties voor de Huisvesting Informatievoorziening voorzieningen zijn onderdeel van het eisenpakket dat is opgesteld bij de verwerving van de voorzieningen.ISOR:het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties
    Huisv_B.05.02Het verwerven van Huisvesting Informatievoorziening voorzieningen vindt uitsluitend plaats op basis van een overeenkomst of andere formele afspraak.Het verwerven van Huisvestingsvoorzieningen uitsluitend o.b.v. formele afspraak of overeenkomst
    Huisv_B.05.03De rollen Contractmanagement Service Level Management die betrokken zijn bij SLA’s en DAP zijn vastgelegd.Bij SLA en DAP betrokken rollen voor Contractmanagement Service Level Management zijn vastgelegd
    Huisv_B.05.04Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s.Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s
    Huisv_B.05.05De levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd.De levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd
    Huisv_B.06.01De Huisvestingsorganisatie heeft de te leveren services, met bijbehorende service niveaus beschreven.Beschrijven van de te leveren Huisvestingservices, met bijbehorende service niveau
    Huisv_B.06.02De dienstenniveaus zijn in lijn met het Huisvesting Informatievoorziening beveiligingsbeleid.De Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting Informatievoorziening
    Huisv_B.06.03De dienstenniveaus zijn onder andere gericht op de aspecten: beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., openstelling, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen (zonering) en herstel (disaster recovery).De aspecten waarop de Service Levels o.a. zijn gericht
    Huisv_B.07.01De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn.De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn
    Huisv_B.07.02Tegen bedreigingen van buitenaf zijn beveiligingsmaatregelen genomen op basis van een expliciete risicoafweging.Tegen externe bedreigingen zijn beveiligingsmaatregelen genomen o.b.v. een expliciete risicoafweging
    Huisv_B.07.03Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen, veroorzaakt door de natuur en menselijk toedoen.Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen
    Huisv_B.07.04De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheidDe brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid
    Huisv_B.08.01Binnen de Huisvesting-IV nemen alle medewerkers regelmatig aan beveiligings-awareness (I-bewustzijn) en trainingsprogramma of nemen deel aan workshop hierover.Awareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkers
    Huisv_B.08.02Aan de medewerkers worden regelmatig e-learning training aangeboden en worden zij regelmatig op de hoogte gesteld van de ontwikkelingen rond Rekencentrum beveiliging d.m.v. brochures en nieuwsletters.Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging
    Huisv_B.09.01Binnen de Huisvestingsorganisatie hebben de verantwoordelijken voor Huisvesting Informatievoorziening een formele positie.ISOR:De verantwoordelijken voor de Huisvesting Informatievoorziening hebben een formele positie
    Huisv_B.09.02Voor Huisvesting Informatievoorziening is een organisatieschema beschikbaar.Er is een Huisvestingsorganisatieschema beschikbaar
    Huisv_B.09.03Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie.Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie
    Huisv_B.09.04De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd.De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd