Huisvesting en facilitaire zaken
Personeel & Organisatie is een ondersteunende bedrijfsfunctie. Hoofdstuk 11 “Fysieke beveiliging en beveiliging van de omgeving” van de BIO is van toepassing op deze bedrijfsfunctie.
Doelstelling[bewerken]
Onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en informatie verwerkende faciliteiten van de organisatie voorkomen.
11.1 Beveiligde gebieden[bewerken]
Artikel | Verantwoordelijk | Aanwezig | Gebruikt | Gestuurd |
---|---|---|---|---|
11.1.1 Fysieke beveiligingszone | Secretaris-directeur | |||
Beveiligingszones behoren te worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten. | ||||
11.1.2 Fysieke toegangsbeveiliging | Secretaris-directeur | |||
Beveiligde gebieden behoren te worden beschermd door passende toegangsbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt. | ||||
11.1.3 Kantoren, ruimten en faciliteiten beveiligen | Proceseigenaar | |||
Voor kantoren, ruimten en faciliteiten behoort fysieke beveiliging te worden ontworpen en toegepast. | ||||
11.1.4 Beschermen tegen bedreigingen van buitenaf | Proceseigenaar | |||
Tegen natuurrampen, kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden ontworpen en toegepast. | ||||
11.1.5 Werken in beveiligde gebieden | Proceseigenaar | |||
Voor het werken in beveiligde gebieden behoren procedures te worden ontwikkeld en toegepast. | ||||
11.1.6 Laad- en loslocatie | Proceseigenaar | |||
Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein kunnen betreden, behoren te worden beheerst, en zo mogelijk te worden afgeschermd van informatie verwerkende faciliteiten om onbevoegde toegang te vermijden. |
Doelstelling[bewerken]
Verlies, schade, diefstal of compromittering van bedrijfsmiddelen en onderbreking van de bedrijfsvoering van de organisatie voorkomen.
11.2 Apparatuur[bewerken]
Artikel | Verantwoordelijk | Aanwezig | Gebruikt | Gestuurd |
---|---|---|---|---|
11.2.1 Plaatsing en bescherming van apparatuur | Dienstverlener | |||
Apparatuur behoort zo te worden geplaatst en beschermd dat risico’s van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind. | ||||
11.2.2 Nutsvoorzieningen | Dienstverlener | |||
Apparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen. | ||||
11.2.3 Beveiliging van bekabeling | Dienstverlener | |||
Voedings- en telecommunicatiekabels voor het versturen van gegevens of die informatiediensten ondersteunen, behoren te worden beschermd tegen interceptie, verstoring of schade. | ||||
11.2.4 Onderhoud van apparatuur | Dienstverlener | |||
Apparatuur behoort correct te worden onderhouden om de continue beschikbaarheid en integriteit ervan te waarborgen. | ||||
11.2.5 Verwijdering van bedrijfsmiddelen | Dienstverlener | |||
Apparatuur, informatie en software behoren niet van de locatie te worden meegenomen zonder voorafgaande goedkeuring. | ||||
11.2.6 Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein | Dienstverlener | |||
Bedrijfsmiddelen die zich buiten het terrein bevinden, behoren te worden beveiligd, waarbij rekening behoort te worden gehouden met de verschillende risico’s van werken buiten het terrein van de organisatie. | ||||
11.2.7 Veilig verwijderen of hergebruiken van apparatuur | Dienstverlener | |||
Alle onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven. | ||||
11.2.8 Onbeheerde gebruikersapparatuur | Dienstverlener | |||
Gebruikers moeten ervoor zorgen dat onbeheerde apparatuur voldoende beschermd is. | ||||
11.2.9 ‘Clear desk’- en ‘clear screen’-beleid | Secretaris-directeur | |||
Er behoort een ‘clear desk’-beleid voor papieren documenten en verwijderbare opslagmedia en een ‘clear screen’-beleid voor informatie verwerkende faciliteiten te worden ingesteld. |