A.11 Fysieke beveiliging en beveiliging van de omgeving
ISO 27001:2013 beheersdoelstellingen en beheersmaatregelen binnen de scope van eToegangsdiensten, - activiteiten, -objecten en -informatie
Norm | Titel | Doelstellingen en beheersmaatregelen | Deelnemer | BSNk | BO | Opmerkingen | Toelichting en referenties |
|---|---|---|---|---|---|---|---|
A.11 | Fysieke beveiliging en beveiliging van de omgeving | Deelnemers en BO vullen dit naar eigen inzicht in. | |||||
A.11.1 | Beveiligde gebieden | Onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en informatieverwerkende faciliteiten van de organisatie voorkomen. | |||||
A.11.1.1 | Fysieke beveiligingszone | Beveiligingszones moeten worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatieverwerkende faciliteiten bevatten. | v | v | v | ||
A.11.1.2 | Fysieke toegangsbeveiliging | Beveiligde gebieden moeten worden beschermd door passende toegangsbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt. | v | v | v | ||
A.11.1.3 | Kantoren, ruimten en faciliteiten | Voor kantoren, ruimten en faciliteiten moet fysieke beveiliging worden ontworpen en toegepast. | v | v | v | ||
A.11.1.4 | Beschermen tegen bedreigingen van | Tegen natuurrampen, kwaadwillige aanvallen of ongelukken moet fysieke bescherming worden ontworpen en toegepast. | v | v | v | ||
A.11.1.5 | Werken in beveiligde gebieden | Voor het werken in beveiligde gebieden moeten procedures worden ontwikkeld en toegepast. | v | v | v | ||
A.11.1.6 | Laad- en loslocatie | Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein kunnen betreden, moeten worden beheerst, en zo mogelijk worden afgeschermd van informatieverwerkende faciliteiten om onbevoegde toegang te vermijden. | v | v | v | ||
A.11.2 | Apparatuur | Verlies, schade, diefstal of compromittering van bedrijfsmiddelen en onderbreking van de bedrijfsvoering van de organisatie voorkomen. | |||||
A.11.2.1 | Plaatsing en bescherming van | Apparatuur moet zo worden geplaatst en beschermd dat risico’s van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind. | v | v | v | ||
A.11.2.2 | Nutsvoorzieningen | Apparatuur moet worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen. | v | v | v | ||
A.11.2.3 | Beveiliging van bekabeling | Voedings- en telecommunicatiekabels voor het versturen van gegevens of die informatiediensten ondersteunen, moeten worden beschermd tegen interceptie, verstoring of schade. | v | v | v | ||
A.11.2.4 | Onderhoud van apparatuur | Apparatuur moet correct worden onderhouden om de continue beschikbaarheid en integriteit ervan te waarborgen. | v | v | v | ||
A.11.2.5 | Verwijdering van bedrijfsmiddelen | Apparatuur, informatie en software mogen niet van de locatie worden meegenomen zonder voorafgaande goedkeuring. | v | v | v | ||
A.11.2.6 | Beveiliging van apparatuur en | Bedrijfsmiddelen die zich buiten het terrein bevinden, moeten worden beveiligd, waarbij rekening moet worden gehouden met de verschillende risico’s van werken buiten het terrein van de organisatie. | v | v | v | ||
A.11.2.7 | Veilig verwijderen of hergebruiken van apparatuur | Alle onderdelen van de apparatuur die opslagmedia bevatten, moeten worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of veilig zijn overschreven. | Sv | Sv | Sv | Belangrijk hierbij is dat wanneer apparatuur wordt verwijderd/hergebruikt of anderszins er gecontroleerd moet worden dat gevoelige gegevens (bijv. persoonsgegevens, metagegevens, routeringstabellen, etc.) onleesbaar worden gemaakt. | |
A.11.2.8 | Onbeheerde gebruikersapparatuur | Gebruikers moeten ervoor zorgen dat onbeheerde apparatuur voldoende beschermd is. | Sv | Sv | Sv | ||
A.11.2.9 | ‘Clear desk’- en ‘clear screen’-beleid | Er moet een ‘clear desk’-beleid voor papieren documenten en verwijderbare opslagmedia en een ‘clear screen’-beleid voor informatieverwerkende faciliteiten worden ingesteld. | Sv | Sv | Sv | ||