Huisvesting Informatievoorziening Controldomein

Uit NORA Online
ISOR:BIO Thema Huisvesting Informatievoorziening Control
Ga naar: navigatie, zoeken
De BIO themadocumenten zijn levende documenten, die van tijd tot tijd een update krijgen. Wijzigingen die geïmplementeerd worden in Q4 2019:
  • Het BIO Thema logische toegangsbeveiliging is opgevolgd door BIO Thema Toegangsbeveiliging. Dit kader is ruimer dan alleen logische toegangsbeveiliging. Een deel van de inhoud van het oude thema komt terug in het nieuwe, de resterende pagina's vervallen en worden niet meer bijgehouden.
  • De Privacy Baseline krijgt een nieuwe versie.
Deze informatie is onderdeel van BIO Thema Huisvesting Informatievoorziening.

Meer lezen

BIO Thema Huisvesting Informatievoorziening
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

Binnen het Beleid domein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Huisvesting Informatievoorziening beschreven en per object zijn conformiteitsindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen).

Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Huisvesting Informatievoorziening. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen.

”Onderwerpen die binnen het Control domein een rol spelen”
Onderwerpen die binnen het Control domein een rol spelen


Nr Objecten Referentie
C.01 Controlerichtlijnen Huisvesting Informatievoorziening UitSIVA analyse
C.02 Onderhoudsplan UitSIVA analyse
C.03 Continuïteitbeheer(BCMS) UitSIVA analyse
C.04 Huisvesting Informatievoorziening beheersorganisatie UitSIVA analyse
Voor het Control domein uitgewerkte beveiligingsobjecten


Risico

Door het ontbreken van noodzakelijke maatregelen binnen de Huisvesting Informatievoorziening organisatie is het niet zeker dat Huisvesting Informatievoorziening aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat de governance van deze omgeving toereikend is ingericht. Daarnaast kan ook niet worden vastgesteld dat de gewenste maatregelen worden nageleefd.

Doelstelling

De doelstelling van het Controldomein is ervoor te zorgen dat en/of vast te stellen of Huisvesting Informatievoorziening afdoende is ingericht voor het leveren van het gewenste niveau van beveiliging. Dit houdt onder meer in dat binnen de organisatie een adequate beheerorganisatie moet zijn ingericht, waarin beheerprocessen zijn vormgegeven.

Principes uit de BIO Thema Huisvesting Informatievoorziening binnen dit aspect

IDprincipeCriterium
Huisv_C.01Controle richtlijnBedrijfsmiddelen behoren periodiek te worden gecontroleerd op basis van formeel vastgestelde richtlijnen en geconstateerde bevindingen dienen tijdig aan het management te worden gerapporteerd.
Huisv_C.02OnderhoudsplanVoor iedere locatie van de Huisvesting-IV is een onderhoudsplan opgesteld op basis van een risicoafweging en onderhoudsbepalingen.
Huisv_C.03ContinuiteitsmanagementContinuïteitbeheer behoort procesmatig voor de gehele organisatie te zijn ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden hersteld en voortgezet.
Huisv_C.04Huisvesting Informatievoorziening BeheersingsorganisatieDe stakeholder van de Huisvesting Informatievoorziening behoort een beheersorganisatie te hebben ingericht waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.
Huisv_C.05Huisvesting Informatievoorzieninig BeheersingsarchitectuurDeze norm is nog in ontwikkeling.

Normen uit de BIO Thema Huisvesting Informatievoorziening binnen dit aspect

IDStellingNorm
Huisv_C.01.01De Huisvesting Informatievoorziening organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen.De Huisvesting Informatievoorziening organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen
Huisv_C.01.02De Huisvesting-IV organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten.Beschikking over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten
Huisv_C.01.03De Huisvesting-IV organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie.Beschikking over richtlijnen voor registratie, statusmeting, analyse, rapportage en evaluatie
Huisv_C.01.04De Huisvesting-IV organisatie beschikt over richtlijnen voor het evalueren van de Huisvesting-IV organisatie.Beschikking over richtlijnen voor evalueren van de Huisvesting-RC-organisatie
Huisv_C.01.05De Huisvesting-IV organisatie heeft de taken, verantwoordelijkheden en bevoegdheden (TVB’s) van controle functionarissen vastgelegd.Vastlegging van taken, verantwoordelijkheden en bevoegdheden van controle functionarissen
Huisv_C.02.01De verantwoordelijke functionaris laat het vastgoed (o.a. gebouwen) op alle locaties van de Huisvesting van Rekencentra onderhouden op basis van een vastgesteld onderhoudsplan.Verantwoordelijke functionaris laat het vastgoed onderhouden o.b.v. vastgesteld onderhoudsplan
Huisv_C.02.02Voor kwetsbare voorzieningen (binnen of buiten het gebouw) zijn duidelijke onderhoudsbepalingen gesteld.Voor kwetsbare voorzieningen zijn duidelijke onderhoudsbepalingen gesteld
Huisv_C.03.01Het BCSM is beschreven, goedgekeurd door het management en:
  • toegekend aan een verantwoordelijke functionaris;
  • behandeld onder nadere: planning, uitvoering van scope, rapporte-ren en bespreken van verbetervoorstellen.
Het BCSM is beschreven, goedgekeurd, toegekend en behandeld door het management
Huisv_C.03.02De beoordelingsrapportage bevat kwetsbaarheden en verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn.Communicatie van de beoordelingsrapportage met kwetsbaarheden, zwakheden en verbetervoorstellen
Huisv_C.03.03Een continuïteitsplan is opgesteld, met daarin activiteiten, rollen en verantwoordelijkheden, uit te voeren validaties, escalatiepaden en signalerings-rapportage t.a.v. continuïteit.Het opgestelde continuïteitsplan bevat activiteiten, rollen en verantwoordelijkheden en rapportages
Huisv_C.03.04De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd.De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd
Huisv_C.03.05Er is gezorgd voor afdoende uitwijkfaciliteiten zodat bij calamiteiten de serviceverlening binnen de daartoe gestelde termijn voortgezet kan worden.Realisatie van afdoende uitwijkfaciliteiten
Huisv_C.03.06Gebruik van de uitwijkfaciliteit(en) en het draaiboek wordt periodiek op correctheid en doelmatigheid getest.Gebruik van de uitwijkfaciliteit(en) en draaiboek worden periodiek getest
Huisv_C.03.07De Huisvesting-IV organisatie is verantwoordelijk voor het beheer, periodiek testen, en controleren van uitwijkvoorzieningen.Verantwoordelijkheid voor beheer, testen, en controleren van uitwijkvoorzieningen
Huisv_C.04.01De samenhang van de processen wordt door middel van een processtructuur vastgelegd.ISOR:De samenhang van de Huisvestings-IV processen wordt d.m.v. een processtructuur vastgelegd
Huisv_C.04.02De belangrijkste functionarissen (stakeholders) voor de beheersorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.Functionarissen voor de beheersingsorganisatie en hun interrelatie zijn benoemd en inzichtelijk
Huisv_C.04.03De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd.Verantwoordelijkheden voor beheersprocessen zijn aan specifieke functionaris toegewezen en vastgelegd
Huisv_C.04.04De organisatie heeft de taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix.Taken, bevoegdheden en verantwoordelijkheden voor de beheerwerkzaamheden zijn vastgelegd