Huisvesting Informatievoorzieningen Beleid

Uit NORA Online
ISOR:BIO Thema Huisvesting Informatievoorziening Beleid
Ga naar: navigatie, zoeken
Deze informatie is onderdeel van BIO Thema-uitwerking Huisvesting Informatievoorzieningen.

Meer lezen

BIO Thema-uitwerking Huisvesting Informatievoorzieningen
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

Objecten, controls en maatregelen

Binnen het beleidsdomein worden maatregelen opgenomen die gerelateerd zijn aan bepaalde objecten. Per object worden conformiteitindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van maatregelen. De objecten die binnen dit domein een rol spelen, zijn in afbeelding 6 vermeld. Van de geel gemarkeerde objecten komen de controls uit de Baseline Informatiebeveiliging Overheid (BIO).

”Afbeelding 6: Onderwerpen die binnen het Beleid domein een rol spelen”
Afbeelding 6: Overzicht huisvesting informatievoorzieningsobjecten in het beleidsdomein


Risico

Als een door het management uitgevaardigd beleid over huisvesting IV ontbreekt, dan ontstaat het risico dat onvoldoende sturing wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de veilige inrichting van huisvesting IV, met als gevolg bijvoorbeeld schade aan bedrijfsmiddelen en ongeautoriseerde toegang tot gegevens.

Doelstelling

De doelstelling van huisvesting IV in het beleidsdomein is om randvoorwaarden en condities te bieden, zodat huisvesting IV adequaat kan functioneren. Hiermee kan de juiste ondersteuning worden geleverd voor het bereiken van de afgesproken doelstellingen. In dit hoofdstuk worden de objecten en daaraan gerelateerde normen opgenomen, die het mogelijk maken huisvesting IV-omgevingen op een veilige manier te laten functioneren. De objecten in dit beleidsdomein bieden de organisatie kaders op basis waarvan de beveiliging van huisvesting IV moet plaatsvinden.

Principes uit de BIO Thema Huisvesting Informatievoorziening binnen dit aspect

IDprincipeCriterium
HVI_B.01Huisvesting IV-beleidTen behoeve van het huisvesting IV-beleid behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.
HVI_B.02Wet en regelgevingAlle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de huisvesting IV-organisatie om aan deze eisen te voldoen behoren voor elke huisvestingsdienst en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
HVI_B.03EigenaarschapHuisvesting IV-bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden, behoren een eigenaar te hebben.
HVI_B.04CertificeringHuisvesting IV van de leverancier behoort gecertificeerd te zijn conform de gangbare standaarden.
HVI_B.05ContractmanagementHuisvesting IV die worden verworven, behoren te voldoen aan kwalitatieve en kwantitatieve eisen die zijn vastgelegd in overeenkomsten met de betreffende leveranciers.
HVI_B.06Service LevelmanagementHet management van huisvesting IV behoort diensten te leveren conform een dienstenniveau-overeenkomst (Service Level Agreement).
HVI_B.07Interne en Externe bedreigingenTegen natuurrampen, kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden ontworpen en toegepast.
HVI_B.08Training en AwarenessAlle medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie.
HVI_B.09OrganisatiestructuurDe huisvesting IV-organisatie behoort voor de te realiseren huisvesting IV een adequate organisatiestructuur in te richten en de aan functionarissen toe te wijzen taken, verantwoordelijkheden en bevoegdheden vast te stellen.

Normen uit de BIO Thema Huisvesting Informatievoorziening binnen dit aspect

IDStellingNorm
HVI_B.01.01De organisatie heeft een huisvesting IV-beleid opgesteld dat:
  • doelstellingen en principes van de huisvesting IV-beveiliging bevat;
  • specifieke verantwoordelijkheden en rollen bevat;
  • processen voor het behandelen van afwijkingen en afzonderingen bevat;
  • procesmatig tot stand komt, bijvoorbeeld: voorbereiden, ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en aanpassen.
Er is een huisvesting IV beleid
HVI_B.01.02Beleidsregels over het huisvesting IV-beleid behandelen eisen die voortkomen uit:
  • Bedrijfsstrategie
  • Wet- en regelgeving
  • Huidige en verwachte bedreigingen op huisvesting IV
  • Beleidsregels huisvesting IV
    HVI_B.01.03Beleidsregels zijn gerelateerd aan specifieke onderwerpen over huisvesting IV, zoals:
  • Fysieke beveiligingszone
  • Fysieke toegangsbeveiligingspersoneel
  • Beleidsregels verwijzen naar specifieke huisvesting onderwerpen
    HVI_B.02.01De verantwoordelijke voor de Huisvesting-IV organisatie stelt vast welke wetgeving van toepassing is voor Huisvesting-IV.De voor de Huisvesting Informatievoorziening-verantwoordelijke stelt toepasselijkheid van wetgeving vast
    HVI_B.02.02Het huisvesting IV-beleid waarover de huisvesting IV-organisatie en de klant overeenstemming hebben bereikt, is mede gerelateerd aan alle relevante en specifiek geldende wet- en regelgeving en contractuele verplichtingen.Klant en organisatie hebben overeenstemming over wet- en regelgeving en contractuele verplichtingen
    HVI_B.03.01Personen of afdelingen, die door de directie verantwoordelijk zijn gesteld voor de levenscyclus van een huisvesting IV-bedrijfsmiddel, zijn als eigenaar benoemd.Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd
    HVI_B.03.02Het eigenaarschap van een huisvesting IV-bedrijfsmiddel wordt toegekend bij het ontstaan en of bij de verwerving van het middel.Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel
    HVI_B.03.03De eigenaar van het huisvesting IV-bedrijfsmiddel is verantwoordelijk voor het juiste beheer gedurende de gehele levenscyclus ervan.De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus
    HVI_B.03.04De eigenaar van het bedrijfsmiddel zorgt ervoor dat:
  • bedrijfsmiddelen geïnventariseerd worden;
  • bedrijfsmiddelen passend worden geclassificeerd;
  • toegangsbeperkingen en classificatie van belangrijke bedrijfsmiddelen worden gedefinieerd, en periodiek beoordeeld;
  • bedrijfsmiddelen op basis van juiste procedures worden verwijderd of vernietigd.
  • Op passende wijze inventariseren, classificeren, verwijderen en vernietigen van bedrijfsmiddellen
    HVI_B.04.01De gangbare principes rondom 'Security by design' zijn uitgangspunt voor de ontwikkeling van software en systemen.Gangbare principes zijn uitgangspunt voor de ontwikkeling van software en systemen
    HVI_B.04.02Huisvesting IV die ingezet wordt voor de organisatie is minimaal ISO 27001 (Managementsystemen voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.) en ISO 50001 (Energiemanagement) gecertificeerd.Certificeringseisen van de ingezette Huisvesting Informatievoorziening
    HVI_B.05.01De eisen en specificaties voor huisvesting IV zijn onderdeel van het eisenpakket dat is opgesteld bij de verwerving van de voorzieningen.Het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties
    HVI_B.05.02Het verwerven van huisvesting IV vindt uitsluitend plaats met een overeenkomst of andere formele afspraak.Het verwerven van Huisvestingsvoorzieningen uitsluitend o.b.v. formele afspraak of overeenkomst
    HVI_B.05.03De bij Service Level Agreements (SLA’s) en Dossier Afspraken en Procedures (DAP’s) betrokken rollen Contractmanagement en Service Level Management zijn vastgelegd.Bij SLA en DAP betrokken rollen voor Contractmanagement en Service Level Management zijn vastgelegd
    HVI_B.05.04Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in Service Level Agreement (SLA’s) en Dossier Afspraken en Procedures(DAP’s).Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s
    HVI_B.05.05De levering van voorzieningen wordt periodiek geëvalueerd door een onafhankelijke partij.De levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd
    HVI_B.06.01De huisvesting IV-organisatie heeft de te leveren diensten en bijbehorende dienstenniveaus beschreven.Beschrijven van de te leveren Huisvestingservices, met bijbehorende service niveau
    HVI_B.06.02Deze dienstenniveaus zijn in lijn met het huisvesting IV- beveiligingsbeleid.De Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting Informatievoorziening
    HVI_B.06.03De dienstenniveaus zijn onder andere gericht op de aspecten: beschikbaarheid, openstelling, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen (zonering) en herstel (disaster recovery).De aspecten waarop de Service Levels o.a. zijn gericht
    HVI_B.07.01De organisatie heeft geïnventariseerd welke data en apparatuur bedrijfskritisch zijn.De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn
    HVI_B.07.02Tegen bedreigingen van buitenaf zijn beveiligingsmaatregelen genomen op basis van een expliciete risicoafweging.Tegen externe bedreigingen zijn beveiligingsmaatregelen genomen o.b.v. een expliciete risicoafweging
    HVI_B.07.03Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de kans op gevolgen van rampen veroorzaakt door de natuur en menselijk handelen.Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen
    HVI_B.07.04De aanwezige brandblusapparatuur wordt jaarlijks op geschiktheid gekeurd door de brandweer of een hiertoe erkend keuringsinstituut.De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid
    HVI_B.08.01Binnen huisvesting IV nemen alle medewerkers regelmatig deel aan beveiligingsbewustwording (bijvoorbeeld I-bewustzijn) en trainingsprogramma’s of nemen deel aan workshops hierover.Awareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkers
    HVI_B.08.02Aan de medewerkers wordt regelmatig (e-learning)training aangeboden en zij worden regelmatig op de hoogte gesteld van de ontwikkelingen rond rekencentrumbeveiliging met brochures en nieuwsberichten.Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging
    HVI_B.09.01Binnen de huisvestingsorganisatie hebben de verantwoordelijken voor huisvesting IV een formele positie.De verantwoordelijken voor de Huisvesting-IV hebben een formele positie
    HVI_B.09.02Voor huisvesting IV is een organisatieschema beschikbaar.Er is een Huisvestingsorganisatieschema beschikbaar
    HVI_B.09.03Het organisatieschema toont de rollen/functionarissen binnen de huisvestingsorganisatie.Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie
    HVI_B.09.04De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet vastgelegd en belegd.De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd