Huisvesting Informatievoorziening Uitvoeringsdomein
Uit NORA Online
ISOR:BIO Thema Huisvesting Informatievoorziening Uitvoering
Deze informatie is onderdeel van BIO Thema Huisvesting Informatievoorziening.
Meer lezen | ||||||||||||||||||
Binnen het Uitvoering domein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Huisvesting-IV beschreven en per object zijn de conformiteitsindicatoren en de desbetreffende implementatie-elementen uitgewerkt. De onderwerpen die uit de BIO binnen dit domein een rol spelen zijn huisvestingsvoorzieningen, inrichting en dienstverlening. Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor de Huisvesting-IV. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen.
| Nr | Objecten | Referentie |
|---|---|---|
| U.01 | Richtlijnen gebieden en ruimten | 27002:11.1.5 |
| U.02 | Bedrijfsmiddelen inventaris | 27002:8.1.1 |
| U.03 | Fysieke zonering | 27002:11.1.1 |
| U.04 | Beveiligingsfaciliteiten ruimten | 27002:11.1.3 |
| U.05 | Nutsvoorzieningen | 27002:11.2.2 |
| U.06 | Apparatuur positionering | 27002:11.2.1 |
| U.07 | Apparatuur onderhoud | 27002:11.2.4 |
| U.08 | Apparatuur verwijdering | 127002:1.2.7 |
| U.09 | Bedrijfsmiddelen verwijdering | 27002:11.2.5 |
| U.10 | Laad-en los locatie | 27002:11.1.6 |
| U.11 | Bekabeling | 27002:11.2.3 |
Risico
Als naleving van de specifieke normen, omgezet in eisen voor de inrichting en exploitatie van rekencentra niet wordt gerealiseerd, dan ontstaan continuïteits-, vertrouwelijkheids- en integriteitsrisico’s, zoals uitval van bedrijfsfuncties, datalekken en verminking van cruciale persoonsinformatie of bedrijfsgegevens.
Doelstelling
Het doel van het uitvoeringsdomein voor Huisvesting-IV is het waarborgen dat de fysieke toegang tot functionaliteit is ingericht overeenkomstig specifieke beleidsuitgangspunten van de bedrijfsonderdelen en dat de beveiliging van de huisvesting als geheel in bestaan en werking voldoet aan de eisen die door de organisatie zijn gesteld.
Principes uit de BIO Thema Huisvesting Informatievoorziening binnen dit aspect
| ID | principe | Criterium |
|---|---|---|
| Huisv_U.01 | Richtlijnen gebieden en ruimten | Voor het werken in beveiligde gebieden behoren richtlijnen te worden ontwikkeld en toegepast.
NB: Omdat de criteria over 'richtlijnen' gaan, is het woord ‘procedures’ uit de ISO norm vervangen door ‘richtlijnen’. |
| Huisv_U.02 | Bedrijfsmiddelen inventaris | Bedrijfsmiddelen die samenhangen met informatie en informatie-verwerkende faciliteiten behoren te worden geïdentificeerd en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden.
NB: De control uit de BIO is afwijkend van de ISO 27001. |
| Huisv_U.04 | Beveiligingsfaciliteiten ruimten | Voor het beveiligen van ruimten behoren faciliteiten te worden ontworpen en te zijn toegepast. |
| Huisv_U.05 | Nutsvoorzieningen | Apparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen. |
| Huisv_U.06 | Apparatuur positionering | Apparatuur behoort zodanig te zijn gepositioneerd en beschermd, dat risico's van bedreigingen en gevaren van buitenaf en ook de kans op onbevoegde toegang worden verkleind.
NB: Oorspronkelijk werd 'geplaatst' toegepast, dit is gewijzigd in 'gepositioneerd'. |
| Huisv_U.07 | Onderhoud Apparatuur | Apparatuur behoort op een correcte wijze te worden onderhouden. |
| Huisv_U.08 | Apparatuur verwijdering | Alle onderdelen van de apparatuur die opslagmedia bevatten behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven. |
| Huisv_U.09 | Bedrijfsmiddelen verwijdering | Informatieverwerkende bedrijfsmiddelen, uitgezonderd daarvoor bestemde mobiele apparatuur, mogen niet van de locatie worden verwijderd zonder voorafgaande goedkeuring. |
| Huisv_U.10 | Laad en los locatie | De toegangspunten, zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, behoren te worden beheerst en indien mogelijk te worden afgeschermd van IT-voorzieningen. |
| Huisv_U.11 | Bekabeling | De voedingskabels voor elektrische en telecommunicatievoorzieningen voor het dataverkeer of ondersteunende informatiediensten behoren te zijn beschermd tegen interceptie of beschadiging. |
| Huisv_U.12 | Huisvesting-IV architectuur | Voor het implementeren van en onderhouden van Huisvestingsvoorzieningen behoren architectuurvoorschriften en benodigde documentatie beschikbaar te zijn. |
Normen uit de BIO Thema Huisvesting Informatievoorziening binnen dit aspect
| ID | Stelling | Norm |
|---|---|---|
| Huisv_U.01.01 | Personeel is alleen op grond van ‘need-to-know’ bekend met het bestaan van of de activiteiten binnen een beveiligd gebied. | Personeel is op grond van ‘need-to-know’ bekend met het beveiligd gebied |
| Huisv_U.01.02 | Zonder toezicht wordt niet gewerkt in de beveiligde gebieden, dit is zowel om veiligheidsredenen als om geen gelegenheid te bieden voor kwaadaardige activiteiten. | In beveiligde gebieden wordt slechts onder toezicht gewerkt |
| Huisv_U.01.03 | Leegstaande beveiligde ruimten moeten fysiek worden afgesloten en periodiek te worden geïnspecteerd. | Leegstaande beveiligde ruimten worden fysiek afgesloten en periodiek geïnspecteerd |
| Huisv_U.01.04 | Tenzij goedgekeurd wordt beeld en geluidopnameapparatuur, zoals in mobiele apparatuur niet toegelaten in de beveiligde ruimten. | Foto-, video-, audio- of andere opnameapparatuur wordt niet toegelaten |
| Huisv_U.01.05 | Bezoekers van kritieke faciliteiten:
| Richtlijnen m.b.t. bezoek tot kritieke faciliteiten |
| Huisv_U.02.01 | Voor elk van de geïdentificeerde bedrijfsmiddelen is het eigenaarschap toegekend (zie 8.1.2) en de classificatie van het bedrijfsmiddel is geïdentificeerd (zie 8.2). | Eigenaarschap en classificatie is toegekend aan elk van de geïdentificeerde bedrijfsmiddelen |
| Huisv_U.02.02 | De Huisvesting-IV organisatie identificeert de bedrijfsmiddelen, welke voor Huisvesting-IV relevant zijn in de levenscyclus van informatie en documenteert het belang daarvan, * de levenscyclus van informatie (de aanmaak, verwerking, opslag, overdracht, verwijdering en vernietiging) omvat;
| Identificatie en documentatie van bedrijfsmiddelen voor de Huisvesting-IV |
| Huisv_U.02.03 | De inventarislijst van de bedrijfsmiddelen wordt nauwkeurig, actueel en consistent bijgehouden en is in overeenstemming met andere inventarisoverzichten. | Actualiteit, consistentie en overeenstemming van de inventarislijst van bedrijfsmiddelen |
| Huisv_U.02.04 | De Huisvesting-IV organisatie heeft inventarisoverzichten:
| Doeltreffende bescherming is zekergesteld m.b.v. inventarisoverzichten |
| Huisv_U.03.01 | Voor het inrichten van beveiligde zones wordt gebruik gemaakt van de volgende voorschriften:
| Voor het inrichten van beveiligde zones wordt gebruik gemaakt van voorschriften |
| Huisv_U.03.02 | Beveiligingszones worden gedefinieerd en de locatie en sterkte van elke zone hangt af van de beveiligingseisen van de bedrijfsmiddelen die zich binnen de zone bevinden en van de resultaten van een risicobeoordeling. | Beveiligingszonelocatie en -sterkte hangt af van risicobeoordeling en eisen aan de bedrijfsmiddelen |
| Huisv_U.03.03 | Informatieverwerkende faciliteiten die worden beheerd door de organisatie moeten fysiek of logisch zijn gescheiden van informatieverwerkende faciliteiten die door externe partijen worden beheerd. | Informatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten |
| Huisv_U.03.04 | Alle medewerkers dragen zichtbaar een identificatiemiddel en informeren beveiligingspersoneel als zij in de niet publieke ruimten personen zonder begeleiding en zonder zichtbaar identificatiemiddel tegenkomen. | Het dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddel |
| Huisv_U.03.05 | Elke fysieke toegang wordt gecontroleerd en fysiek of elektronisch in een logboek vastgelegd. | Elke fysieke toegang wordt gecontroleerd en in een logboek vastgelegd |
| Huisv_U.04.01 | Belangrijke faciliteiten zijn zo gesitueerd dat ze niet voor iedereen toegankelijk zijn. | Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn |
| Huisv_U.04.02 | Faciliteiten zijn zo geconfigureerd, dat wordt voorkomen dat vertrouwelijke informatie activiteiten van buitenaf zichtbaar en/of hoorbaar zijn; voor zover van toepassing wordt ook elektromagnetische afscherming overwogen. | Vertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaar |
| Huisv_U.04.03 | Adresboeken en interne telefoonboeken, waarin locaties worden aangeduid met faciliteiten die vertrouwelijke informatie verwerken, zijn niet vrij toegankelijk voor onbevoegden. | Adresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijk |
| Huisv_U.04.04 | Sleutelbeheer is ingericht op basis van een sleutelplan (NKBR 5.4). | Sleutelbeheer is ingericht op basis van een sleutelplan |
| Huisv_U.05.01 | Nutsvoorzieningen:
| De nutsvoorzieningen |
| Huisv_U.05.02 | Noodverlichting en (nood)communicatiemiddelen zijn aanwezig. | Noodverlichting en (nood)communicatiemiddelen moeten aanwezig zijn |
| Huisv_U.05.03 | Nabij nooduitgangen of ruimten waar apparatuur aanwezig is, zijn noodschakelaars en knoppen waarmee stroom, water, gas en eventuele andere voorzieningen kunnen worden uitgeschakeld. | Aanwezigheid van noodschakelaars en -knoppen bij nooduitgangen of ruimten waar apparatuur aanwezig is |
| Huisv_U.05.04 | Voor de netwerkverbinding(en) is redundantie verkregen via meerdere routes en vanaf meer dan één aanbieder. | Redundantie voor de netwerkverbinding via meerdere routes vanaf meer dan één aanbieder |
| Huisv_U.06.01 | Apparatuur en informatie verwerkende- en opslagfaciliteiten worden zodanig geplaatst, dat onbevoegden hier geen toegang toe hebben en dat ze beveiligd zijn tegen onbevoegde kennisname van gegevens. | Onbevoegden hebben geen toegang tot apparatuur, informatie verwerkende- en opslagfaciliteiten |
| Huisv_U.06.02 | Apparatuur wordt beschermd tegen bedreiging (zoals overspanning, blikseminslag, diefstal, weglekken van informatie door Elektro Magnetische Straling) van buitenaf. | Apparatuur wordt beschermd tegen externe bedreigingen |
| Huisv_U.07.01 | Apparatuur wordt onderhouden in overeenstemming met de door de leverancier aanbevolen intervallen voor servicebeurten en voorschriften. | Apparatuur wordt op aanbevolen intervallen voor servicebeurten en voorschriften onderhouden |
| Huisv_U.07.02 | Reparaties en onderhoudsbeurten aan apparatuur worden alleen uitgevoerd door bevoegd onderhoudspersoneel. | Reparaties en onderhoudsbeurten aan apparatuur worden uitgevoerd door bevoegd onderhoudspersoneel |
| Huisv_U.07.03 | Reparaties van en onderhoud aan apparatuur (hardware) worden op locatie en door bevoegd personeel uitgevoerd tenzij geen data (meer) op het apparaat aanwezig of toegankelijk is. | Reparatie en onderhoud van apparatuur vindt plaats op locatie en door bevoegd personeel |
| Huisv_U.07.04 | Van alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud worden registraties bijgehouden. | Alle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerd |
| Huisv_U.07.05 | Aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd wordt voldaan. | Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd |
| Huisv_U.07.06 | Voordat apparatuur na onderhoud weer in bedrijf wordt gesteld, wordt een inspectie uitgevoerd om te waarborgen dat niet met de apparatuur geknoeid is en dat deze niet slecht functioneert. | Voorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerd |
| Huisv_U.08.01 | Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslagmedia bevat. | Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevat |
| Huisv_U.08.02 | Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen: inleveren, verwijderen, vernietigen en afvoeren:
| Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen |
| Huisv_U.09.01 | In het beveiligingsbeleid is geborgd dat het invoeren en afvoeren van bedrijfsmiddelen volgens een vaste procedure plaatsvindt; onderdeel van deze procedure is een formeel toestemmingstraject. | Het toestemmingstraject voor in- en afvoeren van bedrijfsmiddelen is in het beveiligingsbeleid geborgd |
| Huisv_U.09.02 | Medewerkers en gebruikers van externe partijen die bevoegd zijn om toe te staan dat bedrijfsmiddelen van de locatie worden meegenomen moeten worden geïdentificeerd. | Identificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemen |
| Huisv_U.09.03 | Aan de afwezigheid van bedrijfsmiddelen worden tijdsgrenzen gesteld en geverifieerd wordt of ze worden teruggebracht. | Tijdsgrenzen aan de afwezigheid ern terugbrengen van bedrijfsmiddelen worden geverifieerd |
| Huisv_U.09.04 | Voor zover nodig en gepast wordt het meenemen en de terugkeer van bedrijfsmiddelen geregistreerd. | Meenemen en terugkeer van bedrijfsmiddelen worden geregistreerd |
| Huisv_U.09.05 | De identiteit, rol en connectie van iedereen die bedrijfsmiddelen hanteert of gebruikt, wordt gedocumenteerd en deze documenten worden samen met de apparatuur, informatie of software geretourneerd. | Documentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruikt |
| Huisv_U.10.01 | Er is een procedure voor het omgaan met verdachte brieven en pakketten in postkamers en laad- en losruimten (R). | Een procedure beschrijft het omgaan met verdachte brieven en pakketten |
| Huisv_U.10.02 | De toegang vanaf buiten het gebouw tot de 'laad en los' locatie(s) is beperkt tot geïdentificeerd en bevoegd personeel. | Toegang van buitenaf tot laad- en loslocaties wordt beperkt tot geïdentificeerd en bevoegd personeel |
| Huisv_U.10.03 | De laad- en los- locatie zijn zo ontworpen dat goederen kunnen worden geladen en gelost zonder dat de leverancier toegang heeft tot andere delen van het gebouw. | Eisen aan de laad- en loslocatie |
| Huisv_U.10.04 | De buitendeuren van de 'laad- en los' locatie(s) zijn beveiligd (gesloten) als de binnendeuren open zijn. | De buitendeuren van een laad- en loslocatie moeten beveiligd te zijn als de binnendeuren open zijn |
| Huisv_U.10.05 | Inkomende materialen worden bij binnenkomst op de locatie geregistreerd in overeenstemming met de procedures voor bedrijfsmiddelenbeheer. | Inkomende materialen worden bij binnenkomst op de locatie geregistreerd |
| Huisv_U.10.06 | Inkomende en uitgaande zendingen worden, voor zover mogelijk, fysiek gescheiden. | Inkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden |
| Huisv_U.10.07 | Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing tijdens het transport; elke ontdekte vervalsing wordt direct aan het beveiligingspersoneel gemeld. | Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing |
| Huisv_U.11.01 | Kabels worden bij voorkeur ondergronds aangelegd. | Kabels worden bij voorkeur ondergronds aangelegd |
| Huisv_U.11.02 | De Huisvesting-IV is ingericht op basis van de volgende “Best Practices”:
| De huisvesting van de Rekencentra is ingericht op basis van “Best Practices” |
| Huisv_U.11.03 | Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden. | Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden |
| Huisv_U.12.01 | De aanwezige architectuurvoorschriften voor de fysieke inrichting van Huisvesting-IV voorzieningen worden actief onderhouden. | De architectuurvoorschriften voor de Huisvesting-IV worden actief onderhouden |
| Huisv_U.12.02 | De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd. | De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd |
| Huisv_U.12.03 | Het document:
| Aan het architectuurdocument gestelde eisen |
