null


Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 15 Next »

Fysieke beveiliging omvat het geheel van maatregelen dat betrekking heeft op het voorkomen of beperken van schadelijke gevolgen van fysieke gebeurtenissen zoals verlies, vandalisme, inbraak, bliksem- of wateroverlast. De waarde van apparatuur en de gevoeligheid van gegevens vormen reden tot het nemen van maatregelen op het gebied fysieke beveiliging. Diefstal van apparatuur en gegevens geeft, naast materieel verlies, problemen voor de continuïteit van de gegevensverwerking.

Inhoud

Doel

(blue star) DOELSTELLINGEN

Het beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie:

  • Page:
    OD.10

    We nemen de nodige maatregelen om gebouwen en apparatuur afdoende te beschermen.

Beleid

‘Clear desk’ en ‘clear screen’

Het ‘clear desk’ beleid heeft als doel de informatieveiligheid te verbeteren door ervoor te zorgen dat gevoelige informatie niet onbeheerd op bureaus blijft liggen en gemakkelijk toegankelijk is voor onbevoegde personen.

Implementatiemaatregel

  • Aan het einde van de werkdag:

    • Alle papieren documenten MOETEN worden opgeborgen in afsluitbare kasten of laden.

    • Persoonlijke apparaten zoals laptops MOETEN worden vergrendeld of opgeborgen.

    • Alle notities, post-its, en andere papieren met gevoelige informatie MOETEN worden verwijderd van het bureau.

  • Tijdens vergaderingen of afwezigheid:

    • Werkplekken MOETEN vrij zijn van gevoelige documenten wanneer werknemers hun werkplek verlaten, zelfs voor korte periodes.

  • Algemene richtlijnen:

    • Er ZOUDEN afsluitbare kasten, bureauladen of lockers moeten worden voorzien om documenten veilig te bewaren.

    • Het achterlaten van USB-sticks, mobiele telefoons, of andere opslagapparaten op de werkplek ZOU moeten worden vermeden.

Het ‘clear screen’ beleid zorgt ervoor dat gevoelige informatie op computerschermen niet zichtbaar is voor onbevoegde personen, zowel binnen als buiten de organisatie.

Implementatiemaatregel

  • Bij verlaten van de werkplek:

    • Medewerkers MOETEN hun computers vergrendelen (bijvoorbeeld door middel van Ctrl+Alt+Del) wanneer zij hun werkplek verlaten, zelfs voor korte periodes.

  • Tijdens vergaderingen of pauzes:

    • Schermen MOETEN worden vergrendeld of uitgeschakeld wanneer ze niet in gebruik zijn.

  • Gebruik van wachtwoorden (zie ook beleid Toegangsbeveiliging) :

    • Computers MOETEN zo worden ingesteld dat ze automatisch vergrendelen na een periode van inactiviteit (bijvoorbeeld na 10 minuten).

    • Wachtwoorden MOGEN NIET worden opgeschreven en in de buurt van de werkplek bewaard.

Beschermen tegen fysieke en omgevingsdreigingen

Het doel van deze implementatiemaatregel is om de veiligheid van kritische apparatuur en gegevens te waarborgen door middel van fysieke en omgevingsbeveiligingsmaatregelen. Dit beoogt de risico's van schade door inbraak, brand, water, stroomuitval en andere omgevingsdreigingen te minimaliseren en de continuïteit van de bedrijfsvoering te verzekeren.

Implementatiemaatregel

  • Automatisering van fysieke beveiliging:

    • De bestaande fysieke beveiliging ZOU zoveel mogelijk geautomatiseerd moeten worden.

    • Apparatuur voor het detecteren van schade, zoals inbraak, brand, wateroverlast en stroomuitval, MOET geïnstalleerd worden.

    • De reactieprocedures op gedetecteerde schade MOETEN geautomatiseerd worden.

  • Periodieke inspectie van beveiligingsmaatregelen:

    • Fysieke beveiligingsmaatregelen MOETEN periodiek geïnspecteerd worden, bijvoorbeeld op initiatief van de brandweer en verzekeringsmaatschappijen.

  • Luchtbehandeling van kritische ruimtes:

    • De luchtbehandeling van ruimtes met kritische apparatuur MOET onafhankelijk zijn van de overige ruimtes.

    • Het risico van aanzuiging van gevaarlijke stoffen MOET beperkt worden.

    • Er MOET een mogelijkheid zijn om bij alarmering de luchtventilatie handmatig uit te schakelen.

  • Branddetectie en -melders:

    • Er MOET detectieapparatuur en automatische (en handmatige) brandmelders aanwezig zijn in kritische ruimtes, inclusief onder verhoogde vloeren en boven verlaagde plafonds, en in ruimtes met hoge brandveiligheidseisen.

    • Regelmatige controles MOETEN plaatsvinden om de werking van de detectieapparatuur te waarborgen.

    • De detectieapparatuur MOET voorzien zijn van een eigen noodstroomvoorziening.

    • Instructies MOETEN aanwezig zijn die aangeven hoe te handelen in geval van brand.

  • Vochtdetectie:

    • In kritische ruimtes (wanden, vloeren en plafonds) MOGEN GEEN leidingen voor het transport van water of andere vloeistoffen aanwezig zijn, met uitzondering van brandblusapparaten.

    • In de directe omgeving van kritische apparatuur MOETEN vochtdetectors met automatische detectie en alarmering aanwezig zijn.

  • Rookverbod:

    • Het wettelijk rookverbod in alle gebouwen van de organisatie, inclusief alle kritische (data) ruimtes MOET worden nageleefd.

  • Gebruik van brandwerende materialen:

    • Bij de bouw en inrichting van kritische ruimtes MOETEN materialen gekozen worden die brand- en rookontwikkeling beperken.

    • Er MOET aandacht geschonken worden aan brandwerende scheidingen.

  • Bliksemafleiderinstallatie:

    • Een bliksemafleiderinstallatie MOET geïnstalleerd worden om schade door blikseminslag zoveel mogelijk te voorkomen.

Beveiligen van bedrijfsmiddelen buiten het terrein

Het doel van deze implementatiemaatregel is om de veiligheid en integriteit van bedrijfsmiddelen die buiten de terreinen van de organisatie worden gebruikt te waarborgen. .

Implementatiemaatregel

  • Beveiliging van bedrijfsmiddelen:

    • Alle bedrijfsmiddelen die door de organisatie worden verstrekt of uitgeleend, MOETEN door de relevante diensten beveiligd worden.

  • Verantwoordelijkheid van gebruikers:

    • Gebruikers van apparatuur buiten de organisatie MOETEN maatregelen nemen om hun materiaal zonder toezicht te beschermen. Dit omvat het nooit onbeheerd achterlaten van apparaten in publieke of onveilige ruimtes.

  • Beveiliging van mobiele apparatuur (zie ook beleid Digitale werkplek (Guy work in progress)):

    • Mobiele apparatuur die bedrijfsgegevens bevat, MOET minimaal beschermd worden door een wachtwoord of PIN-code.

    • Daarnaast moeten alle mobiele apparaten die bedrijfsgegevens bevatten, versleuteld worden om ongeoorloofde toegang te voorkomen.

Beveiliging van bekabeling

Het doel van deze implementatiemaatregel is om de integriteit, beschikbaarheid en beveiliging van voedings- en telecommunicatiekabels binnen de organisatie te waarborgen. Dit beoogt risico's van ongeoorloofde toegang, interferentie, en onderbrekingen in kritieke datacommunicatie te minimaliseren en de continuïteit van bedrijfsprocessen te verzekeren.

Implementatiemaatregel

  • Documentatie van kabeltypen en -standaarden:

    • Er MOET gedetailleerde documentatie beschikbaar zijn over de typen en standaarden van voedings- en telecommunicatiekabels die binnen de organisatie worden gebruikt.

    • De documentatie MOET ook specificeren welke kabels voor dataverkeer of ondersteunende informatiediensten worden gebruikt en waar deze kabels zich bevinden.

  • Toegangsbeveiliging:

    • Interne (tele)communicatiebekabeling en verdeelpunten MOETEN onbereikbaar zijn voor onbevoegden door middel van zonering en fysieke beveiligingsmaatregelen.

  • Ontwerp en bescherming van kabels:

    • Bekabeling MOET ruim bemeten en gespreid zijn om capaciteit en redundantie te waarborgen.

    • Kabels MOETEN afgeschermd worden van voedingskabels, bliksemafleiders, TL-buizen, spoelen en andere bronnen van elektromagnetische interferentie.

  • Noodstroomvoorziening:

    • Een ononderbroken stroomvoorziening (UPS) MOET kunnen zorgen voor een tijdelijke no-break van de verschillende platformen bij stroomuitval.

  • Back-upvoorzieningen voor kritieke datacommunicatie:

    • Voor bedrijfsprocessen die afhankelijk zijn van kritieke datacommunicatieverbindingen MOETEN back-upvoorzieningen getroffen worden om continuïteit te waarborgen.

Beveiliging van kantoren, ruimten en faciliteiten

Het doel van deze implementatiemaatregel is om de veiligheid en beveiliging van kantoren, ruimten en faciliteiten te waarborgen. Dit beleid beoogt de risico's van fysieke bedreigingen, calamiteiten en omgevingsrisico's te minimaliseren en de continuïteit van bedrijfsprocessen te verzekeren.

Implementatiemaatregel

  • Verantwoordelijkheden en bevoegdheden:

    • De verantwoordelijkheden en bevoegdheden met betrekking tot fysieke beveiliging MOETEN duidelijk worden vastgelegd en gedocumenteerd.

  • Onderhoud en testen van beveiligingsapparatuur:

    • Apparatuur die wordt gebruikt voor het beheer van fysieke beveiliging MOET periodiek worden onderhouden en getest, minimaal één keer per jaar.

  • Beveiligingsprocedures:

    • De beveiligingsprocedures voor airconditioning, waterbescherming, brandbeveiliging en elektrische voorzieningen MOETEN worden gedefinieerd en regelmatig getest.

  • Vereisten voor ruimtes:

    • Ruimtes MOETEN voldoen aan de volgende vereisten:

      • Weerstand tegen calamiteiten zoals brand, blikseminslag, storm, hagel, overstroming/waterlekken en aardbevingen.

      • Wand-, vloer- en plafondconstructies moeten voldoen aan brandwerendheidseisen.

      • Afwerking moet voldoen aan eisen voor stof, brand en rook.

      • Beschikken over diverse vluchtwegen.

      • Externe elektriciteitstoevoer met voeding vanaf twee zijden.

      • Voldoen aan arbeidsomstandigheden betreffende licht, geluid en luchtkwaliteit.

      • Maatregelen tegen schade door onder- of overspanning, onder andere bij bliksem.

      • Voldoen aan overige wettelijke eisen of interne richtlijnen.

  • Documentatie van bouwkundige voorzieningen:

    • Voor het oplossen van technische storingen en het bieden van informatie over de infrastructuur MOET er actuele documentatie over de bouwkundige voorzieningen beschikbaar zijn bij de beheerder van het gebouw.

  • Bescherming van IT-infrastructuur:

    • Zalen in het gebouw die actieve IT-infrastructuur bevatten, MOETEN specifiek worden beschermd tegen omgevingsbedreigingen, het uitvallen van nutsvoorzieningen en natuurrampen.

  • Verantwoordelijkheid voor apparatuur buiten de organisatie:

    • Werknemers MOETEN zelf verantwoordelijk worden gesteld voor de beveiliging van apparatuur buiten de organisatie.

  • Beveiligingsmaatregelen op kantoor:

    • Op kantoor ZAL de werkplek indirect gebruik maken van beveiligingsmaatregelen die niet specifiek voor de werkplek zijn genomen, maar wel extra bescherming bieden. Dit omvat toegangsbewaking, brandbeveiliging, beveiliging tegen stroomonderbreking en functiescheiding.

Fysieke beveiligingszones

Het doel van deze implementatiemaatregel is om de veiligheid en integriteit van de organisatie te waarborgen door het creëren van verschillende fysieke beveiligingszones. Deze classificeert fysieke ruimtes in zones op basis van hun toegankelijkheid en beveiligingseisen, en stelt maatregelen vast voor de bescherming van elke zone tegen ongeoorloofde toegang en andere bedreigingen.

Classificatie van fysieke ruimtes kunnen als volgt worden onderverdeeld:

  • Publieke zone: gebieden die openstaan voor het algemene publiek zonder beperkingen.

  • Semipublieke zone: gebieden met beperkte toegang, alleen toegankelijk voor geautoriseerde personen en bezoekers onder begeleiding.

  • Niet-publieke of private zone: gebieden die strikt beperkt zijn tot geautoriseerd personeel en waar toegang streng gecontroleerd wordt.

Implementatiemaatregel

  • Beveiliging van de mobiele werkplek:

    • De mobiele werkplek MOET beschouwd worden als een publieke zone van de organisatie en MOET voorzien zijn van alle noodzakelijke controles voor beveiliging, zoals versleuteling van gegevens en wachtwoordbescherming.

  • Fysieke solide buitengrenzen:

    • Elke beveiligingszone MOET beschikken over fysieke solide buitengrenzen die ongeoorloofde toegang voorkomen.

    • De locatie en sterkte van deze buitengrenzen, evenals het toegangsbeveiligingsmechanisme, MOETEN afgestemd zijn op het classificatieniveau van de zone.

  • Toegangsbeveiligingsmechanismen:

    • Toegangscontrolemechanismen zoals sleutels, toegangspassen, biometrische verificatie of andere beveiligingstechnologieën MOETEN worden geïmplementeerd om toegang tot semipublieke en niet-publieke zones te beheren en controleren.

  • Branddeuren en alarmsystemen:

    • Alle branddeuren die deel uitmaken van een beveiligingszone MOETEN voorzien zijn van alarmsystemen.

    • Deze alarmsystemen MOETEN regelmatig gemonitord en getest worden om te waarborgen dat ze het vereiste weerstandsniveau bieden en effectief functioneren.

Fysieke toegangsbeveiliging

Het doel van deze implementatiemaatregel is om de veiligheid en integriteit van zones en ruimtes binnen de organisatie te waarborgen door middel van effectieve fysieke toegangsbeveiliging. Dit beoogt de risico's van ongeoorloofde toegang te minimaliseren en de bescherming van gevoelige informatie en IT-voorzieningen te verbeteren.

Implementatiemaatregel

  • Toegangssystemen en identificatie:

    • Zones en ruimtes MOETEN worden beschermd door fysieke toegangssystemen die toegang verlenen aan geïdentificeerde personen: geautoriseerde personen of geregistreerde en begeleide bezoekers.

    • Indien badges worden gebruikt, MOETEN deze persoonlijk zijn.

  • Toegangsbeveiliging en barrières:

    • Toegangsbeveiligingen zoals toegangspoorten met kaartsloten of een bemande receptie MOETEN worden geïnstalleerd om ruimtes te beschermen waar informatie en IT-voorzieningen zich bevinden (bijv. serverruimte, back-up-ruimte, OTAP-straat (MER) en patchruimtes (SER)). Ditzelfde geldt voor kasten met persoonsdossiers en andere gevoelige gegevens.

  • Toewijzing van toegang:

    • Toegang tot zones en ruimtes MOET worden toegewezen volgens duidelijk omschreven criteria voor zowel interne werknemers als externe werknemers of onderhoudspersoneel (bijv. schoonmakers, technici, plantenonderhouders).

  • Bezoekersbeheer:

    • Bezoekers MOETEN vooraf worden aangemeld door de ontvangende medewerker, waarbij MOET worden aangegeven of de bezoeker bij binnenkomst mag doorlopen of moet worden opgehaald door de ontvangende medewerker.

    • Bezoekers MOETEN worden geregistreerd (datum en tijdstip van binnenkomst en vertrek), bijvoorbeeld digitaal of door het invullen van een bezoekerslog.

    • Niet-geaccrediteerde personen MOGEN NIET in kritieke zones werken zonder permanent toezicht van een medewerker.

  • Toegangscontrole voor kritieke zones:

    • Voor kritieke zones MOET de toegangsbeveiliging (badgeapparatuur) worden gecontroleerd door middel van camerabewaking en/of bewakingspersoneel.

    • Reserve badges MOETEN veilig worden opgeborgen (blanco toegangsbadges of niet toegewezen badges).

  • Beperking van toegang tot vertrouwelijke zones:

    • Toegang tot zones waar vertrouwelijke informatie wordt verwerkt, MOET worden beperkt tot geautoriseerde personen.

    • Technische zones, netwerkkasten en bekabeling MOETEN worden beschermd en mogen alleen toegankelijk zijn voor geautoriseerde personen.

  • Preventie en detectie van ongeautoriseerde toegang:

    • Het ongeautoriseerde gebruik van toegang tot kritieke zones MOET worden voorkomen of tijdig gedetecteerd.

  • Protocol voor goederenontvangst:

    • Er MOET een vastgesteld protocol zijn voor goederenontvangst.

    • Gescheiden ingangen voor personen en goederen (aparte laad- en loszones) ZOUDEN moeten worden voorzien.

    • Toegangspunten zoals laad- en loszones en andere punten waar onbevoegden het terrein kunnen betreden, MOETEN worden beheerst en indien mogelijk worden afgeschermd van kritieke zones om ongeoorloofde toegang te voorkomen.

Monitoren van de fysieke beveiliging

Het doel van deze implementatiemaatregel is om de veiligheid en integriteit van fysieke terreinen en gebouwen te waarborgen door middel van effectieve monitoring en bewaking. Dit beoogt de risico's van ongeoorloofde toegang, diefstal en vandalisme te minimaliseren en de bescherming van kritieke systemen en gevoelige zones te verbeteren.

Implementatiemaatregel

  • Bewakingssystemen:

    • Fysieke terreinen en gebouwen MOETEN worden bewaakt door een combinatie van bewakingssystemen, waaronder bewakers, inbraakalarmen, videobewaking en software voor het beheer van informatie over fysieke beveiliging.

  • Toegangsbewaking:

    • Toegang tot gebouwen waarin kritieke systemen zijn ondergebracht, MOETEN voortdurend worden gemonitord om toegang door onbevoegden of verdacht gedrag te detecteren.

  • Videomonitoringsystemen:

    • Er MOET gebruik gemaakt worden van videomonitoringsystemen om de toegang tot gevoelige zones binnen en buiten de terreinen en gebouwen van de organisatie te bekijken en te registreren.

  • Inbraakalarmen:

    • Contact-, geluids- of bewegingsmelders die een inbraakalarm in werking stellen, MOETEN worden ingesteld volgens industrienormen en MOETEN jaarlijks worden geëvalueerd.

    • Alle buitendeuren en toegankelijke ramen MOETEN worden afgedekt met alarmsystemen.

    • Leegstaande ruimtes MOETEN worden beveiligd met een alarm.

    • Andere ruimtes, zoals computer- of communicatieruimtes, MOETEN eveneens worden beveiligd.

  • Ontwerp en bescherming van monitoringsystemen:

    • Het ontwerp van monitoringsystemen MOET geheim blijven om de effectiviteit te waarborgen.

    • Monitoringsystemen MOETEN worden beschermd tegen toegang door onbevoegden om manipulatie en sabotage te voorkomen.

    • Het bedieningspaneel van het alarmsysteem MOET zich bevinden in een alarmbeveiligde zone.

    • Het bedieningspaneel en de detectoren MOETEN voorzien zijn van manipulatiebestendige mechanismen en worden één keer per jaar getest om te garanderen dat ze correct werken.

  • Gebruik van monitoring- en opnamemechanismen:

    • Elk monitoring- en opnamemechanisme MAG enkel gebruikt worden na grondige evaluatie door het juridische team om naleving van wettelijke en reglementaire vereisten te waarborgen.

Nutsvoorzieningen

Het doel van deze implementatiemaatregel is om de continuïteit van informatieverwerkende faciliteiten te waarborgen door bescherming te bieden tegen stroomuitval en andere verstoringen die worden veroorzaakt door storingen in nutsvoorzieningen. Dit richt zich op het minimaliseren van risico's voor kritieke bedrijfsprocessen en het handhaven van operationele integriteit.

Implementatiemaatregel

  • Bescherming tegen stroomuitval en verstoring:

    • Informatieverwerkende faciliteiten MOETEN worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door storingen in nutsvoorzieningen.

  • No-break-installatie voor kritieke ruimtes:

    • Voor kritieke ruimtes MOET een no-break-installatie (UPS) worden geïnstalleerd met een capaciteit die voldoende is voor het (tijdelijk) voortzetten van de meest kritische bedrijfsprocessen.

  • Testen en onderhoud van no-break-installaties:

    • De no-break-installatie MOET minstens jaarlijks op goed functioneren worden getest.

    • De no-break-installatie MOET volgens de voorschriften worden onderhouden om te garanderen dat deze operationeel is wanneer dat nodig is.

Onderhoud van apparatuur

Het doel van deze implementatiemaatregel is om de operationele continuïteit en betrouwbaarheid van apparatuur die cruciaal is voor de organisatie te waarborgen. Dit beoogt de risico's van apparatuurstoringen te minimaliseren door het vaststellen van duidelijke verantwoordelijkheden en het afsluiten van onderhoudscontracten.

Implementatiemaatregel

  • Verantwoordelijkheden voor apparatuurbeheer:

    • De verantwoordelijkheden voor het beheer van apparatuur MOETEN duidelijk zijn en geformaliseerd worden. Dit omvat het toewijzen van specifieke taken en bevoegdheden aan verantwoordelijke personen of teams binnen de organisatie.

  • Onderhoudscontracten voor cruciale apparatuur:

    • Voor apparatuur die van belang is voor de organisatie MOETEN onderhoudscontracten worden opgesteld. Deze contracten moeten zorgen voor regelmatige inspectie, onderhoud en reparatie van de apparatuur om de operationele efficiëntie en levensduur te waarborgen.

Opslagmedia

Het doel van deze implementatiemaatregel is om de veiligheid en integriteit van opslagmedia te waarborgen gedurende hun volledige levenscyclus. Dit beoogt de risico's van gegevensverlies, diefstal en ongeoorloofde toegang tot gevoelige informatie te minimaliseren.

Implementatiemaatregel

  • Beheer van opslagmedia:

    • Opslagmedia MOETEN worden beheerd gedurende hun volledige levenscyclus van aanschaf, gebruik, transport en verwijdering.

  • Procedures voor verwijderbare media:

    • Voor het beheren van verwijderbare media MOETEN de nodige procedures worden geïmplementeerd.

  • Toestemming voor apparatuurgebruik:

    • Apparatuur (anders dan standaard werkmiddelen zoals laptops, smartphones en tablets), informatie en programmatuur van de organisatie MOGEN NIET zonder toestemming van de verantwoordelijke van de locatie worden meegenomen.

  • Onderhoud en transport:

    • Onderhoud, verplaatsing of transport van apparatuur buiten de organisatie MOET worden uitgevoerd door bevoegd en getraind personeel en/of toegelaten externe medewerkers.

    • Tijdens het transport, uit dienst name of onderhoud van apparatuur MOETEN gevoelige gegevens worden verwijderd of beschermd door encryptie of sterke toegangscontrolemaatregelen (zoals een afgesloten koffer).

  • Verantwoordelijkheden van werknemers:

    • Werknemers MOETEN alle redelijke maatregelen nemen om de veiligheid van de toegewezen hardware, software en informatie te waarborgen.

    • Werknemers MOETEN ervoor zorgen dat alle toegewezen hardware en software in goede staat worden onderhouden en voldoende beschermd zijn tegen illegaal gebruik of diefstal.

    • Draagbare apparatuur MOET buiten de normale openingstijden van het kantoor worden verwijderd of op de juiste manier worden beveiligd of afgesloten (bijvoorbeeld in een afgesloten kast).

    • Buiten de organisatie MOET adequate bescherming aan de apparatuur worden gegeven.

    • Medewerkers MOETEN melden van verlies of schade, ongeacht de oorzaak, zodra zij zich daarvan bewust worden.

  • Veilige verwijdering van media:

    • Media MOETEN op een veilige en beveiligde manier worden verwijderd wanneer ze niet langer nodig zijn.

    • Er MOET gebruik worden gemaakt van logische en fysieke methoden om informatie te verwijderen (bijvoorbeeld clearing, purging, cryptografisch wissen, vernietiging). Wanneer nodig wordt het 4-ogen principe toegepast.

Plaatsen en beschermen van apparatuur

Het doel van deze implementatiemaatregel is om de veiligheid en integriteit van kritische apparatuur binnen de organisatie te waarborgen. Dit beoogt de risico's van ongeoorloofde toegang, diefstal en andere bedreigingen te minimaliseren en de continuïteit van kritieke bedrijfsprocessen te handhaven.

Implementatiemaatregel

  • Plaatsing van kritische apparatuur:

    • Kritische vaste apparatuur MOET in een beveiligde toegangsruimte worden geplaatst, die enkel toegankelijk is voor geautoriseerde personen en niet in publieke zones.

  • Noodstroomvoorziening:

    • Voor kritische apparatuur MOET de elektriciteitsvoorziening via een noodstroomopwekking kunnen worden gegarandeerd om de continuïteit van de bedrijfsprocessen te waarborgen.

  • Bescherming van rack Infrastructuur:

    • Rack infrastructuur voor servers of netwerkcomponenten MOET afgesloten worden om ongeoorloofde toegang te voorkomen.

  • Bescherming van mobiele apparatuur:

    • Mobiele apparatuur MOET worden beschermd tegen onbevoegde toegang, hetzij door de organisatie, hetzij door de eigenaar zelf. Afhankelijk van de gevoeligheid van de informatie kunnen verschillende maatregelen worden toegepast, zoals encryptie en wachtwoordbescherming.

    • Voor laptops MOETEN maatregelen tegen diefstal worden genomen, zoals het gebruik van kabels, sloten, bewakers, enzovoorts.

    • Mobiele apparatuur MOET worden beschermd tegen onbevoegde toegang door middel van wachtwoorden, pincodes, certificaten of encryptie.

    • Voor mobiele apparatuur die gevoelige informatie bevatten, ZOUDEN cryptografische maatregelen moeten worden genomen om ongeoorloofde toegang te voorkomen (zie beleid Cryptografie).

  • ICT Gedragscode voor Werknemers:

    • Alle werknemers MOETEN een ICT gedragscode respecteren met betrekking tot de bescherming van hun apparatuur. Ze moeten de informatie van de organisatie beschermen tegen incidenten die de beschikbaarheid, integriteit en vertrouwelijkheid kunnen aantasten.

Veilig verwijderen of hergebruiken van apparatuur

Het doel van dit beleid is om de veiligheid en integriteit van gevoelige gegevens te waarborgen wanneer apparatuur uit dienst wordt genomen, hergebruikt of voor herstel buiten de organisatie wordt gebracht. Dit beleid beoogt de risico's van gegevenslekken en ongeoorloofde toegang tot bedrijfsinformatie te minimaliseren.

Implementatiemaatregel

  • Verwijderen van gegevens bij buiten gebruik stellen:

    • Wanneer apparatuur uit dienst wordt genomen, hergebruikt of voor herstel buiten de organisatie wordt gebracht, MOETEN gevoelige gegevens worden verwijderd zodat deze niet meer kunnen worden gereconstrueerd.

  • Contractuele vastlegging van gegevensverwijdering:

    • De gepaste maatregel voor het wissen van gegevens MOET contractueel worden vastgelegd, bijvoorbeeld bij leasing of cloud computing. Dit zorgt ervoor dat alle betrokken partijen zich aan dezelfde veiligheidsstandaarden houden.

  • Processen en procedures:

    • Er MOETEN processen en procedures bestaan voor het veilig verwijderen of hergebruiken van bedrijfsmiddelen, waaronder apparatuur en certificaten. Deze processen en procedures MOETEN duidelijk omschreven en gedocumenteerd zijn.

Werken in beveiligde gebieden

Het doel van dit beleid is om de veiligheid en integriteit van beveiligde gebieden binnen de organisatie te waarborgen. Dit beleid beoogt de risico's van incidenten en ongeoorloofde toegang te minimaliseren en de veiligheid van medewerkers te verbeteren tijdens het werken in beveiligde ruimten.

Implementatiemaatregel

  • Fysieke Bescherming en richtlijnen:

    • Er MOETEN fysieke beschermingsmaatregelen en richtlijnen voor het werken in beveiligde ruimten worden ontworpen en toegepast. Deze maatregelen moeten ervoor zorgen dat de beveiligde ruimten adequaat beschermd zijn tegen ongeoorloofde toegang en andere bedreigingen.

  • Aanwezigheid van personeel:

    • In overeenstemming met het Algemeen Reglement voor de Arbeidsbescherming (ARAB), MOETEN er altijd twee mensen aanwezig zijn in beveiligde ruimten, vooral buiten kantooruren. Dit zorgt voor extra veiligheid en ondersteuning in geval van nood.

  • Procedures en werkinstructies:

    • Voor belangrijke ruimtes MOETEN de procedures en werkinstructies worden vastgesteld en gecommuniceerd aan alle betrokken medewerkers. Deze instructies MOETEN duidelijk omschrijven hoe men veilig en effectief kan werken in beveiligde gebieden.

Appendix

Relatie van het beleid met andere richtlijnen en standaarden

Regelgeving en standaarden (L1)

ISO 27001:2022 (Annex A)

Informatieveiligheidsstrategie van de Vlaamse overheid (L2)

Zie 6. Beheersmaatregelen - Fysieke beveiliging voor meer informatie.

Uitvoering van het beleid

Processen

Oplossingen

Document status

Titel

Auteur

Datum

Versie

Status

Opmerkingen

Fysieke beveiliging

Guido Calomme

27/06/2024

1.0

Concept

-

  • No labels