Advies nodig? Neem contact op met Kennisnet support
0800 321 22 33 | ibp@kennisnet.nl
Home » Informatiebeveiliging » Domein 12: Fysieke beveiliging » Norm PH.01

Norm PH.01 Fysieke beveiligingsmaatregelen

Voor specifieke (kantoor)ruimten waarin gevoelige informatie aanwezig is of it-componenten staan, heeft de organisatie fysieke beveiligingsmaatregelen vastgesteld en ingevoerd in overeenstemming met de organisatie-eisen. De toegang tot informatiesystemen wordt hierdoor op passende wijze beperkt en risico’s met betrekking tot diefstal, temperatuur, brand, rook, water, trillingen, terreur, vandalisme, stroomuitval, chemicaliën of explosieven worden effectief voorkomen, gedetecteerd en beperkt. Toegang tot deze ruimten wordt gemotiveerd, geautoriseerd, geregistreerd en gemonitord. Dit geldt voor alle personen die de ruimten betreden, inclusief medewerkers, tijdelijke medewerkers, leerlingen, leveranciers, bezoekers of welke andere derde partij dan ook.

Waarom is dit nodig?

Door toegang tot ruimten met gevoelige informatie of it-gerelateerde componenten binnen de scholen te autoriseren, registreren en monitoren zorg je ervoor dat onbevoegden geen toegang krijgen tot deze informatie en componenten. Maar ook andere beveiligingsrisico’s zoals brand, waterschade en stroomuitval wil je zoveel mogelijk beperken. Mocht het toch voorkomen? Dan moet je voorbereid zijn. Door maatregelen te treffen, voorkom je dat de integriteit en beschikbaarheid van it-componenten en gegevens in gevaar komen en zorg je er in geval van calamiteiten voor dat je snel kunt schakelen.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Er wordt geen fysiek beveiligingsbeleid gehanteerd.
  • De organisatie kan niet snel diefstal of aanvallen op gebouwen en apparatuur detecteren.
  • Het beheer van faciliteiten en apparatuur is afhankelijk van de bekwaamheid van enkele individuen.
2 Herhaalbaar
  • Er zijn beleidskaders voor fysieke beveiliging, maar deze zijn niet volledig en worden niet consequent gehanteerd. Overtreding van regels wordt niet opgemerkt.
  • Fysieke beveiliging is een informeel proces en standaarden worden niet consequent toegepast binnen de organisatie.
3 Bepaald (streefniveau)
  • Er is een alomvattend op risico’s gebaseerd beleid inzake fysieke beveiliging. Dat beleid is gedocumenteerd, gecommuniceerd en wordt ondersteund door (toegangs)systemen voor de bescherming en ondersteuning van medewerkers, leerlingen, leveranciers, bezoekers, et cetera. Het beleid is ook voor incidentrespons en -rapportage.
  • Het beleid is goedgekeurd door het schoolbestuur of de schoolleiding.
  • Er zijn effectieve maatregelen genomen om bedreigingen en ongeautoriseerde toegang tot terrein en gebouwen en diefstal van apparatuur te voorkomen, te detecteren en tegen te houden.
  • Fysieke beveiligingsmaatregelen zijn passend voor de organisatie en worden actief meegewogen vanaf de eerste fase van een eventuele verhuizing of verbouwing; er wordt rekening gehouden met ontwerp- en certificeringseisen voor zonering en controle.
  • Verantwoordelijkheden en eigenaarschap zijn duidelijk vastgesteld.
4 Beheerst

Aanvullend op niveau 3:

  • Het fysieke beveiligingsbeleid behandelt ook de veiligheid en bescherming van medewerkers en apparatuur wanneer deze niet op locatie zijn. Het beleid schrijft ook voor dat het management toezicht houdt op de effectiviteit van de beheersmaatregelen en het voldoen aan standaarden, en dat er in het risicomanagementproces rekening gehouden wordt met de mogelijkheid tot herstel van faciliteiten en apparatuur.
  • Voor alle faciliteiten is bepaald welke standaarden van toepassing zijn. Dit betreft onder meer terreinkeuze, bouw, bewaking, veiligheid van medewerkers, mechanica, elektronica en bescherming tegen omgevingsfactoren (zoals brand, blikseminslag en overstroming)
  • Het voldoen aan het beleid wordt op ad-hocbasis geëvalueerd (door de second line of defense).
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • Er is een goedgekeurde langetermijnplanning voor de faciliteiten die essentieel zijn voor de ondersteuning van het terrein en de it-omgeving, gebaseerd op het beleid.
  • Alle faciliteiten zijn geïnventariseerd en geclassificeerd volgens het informatierisicomanagementproces.
  • Het al dan niet voldoen aan het beveiligingsbeleid wordt periodiek gerapporteerd aan het schoolbestuur of de schoolleiding.
  • Het beleid wordt jaarlijks geëvalueerd, geactualiseerd en opnieuw goedgekeurd door het schoolbestuur.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.

  • Maak fysieke beveiliging onderdeel van het IBP-beleid. Zie voor meer informatie over het opstellen van IBP-beleid norm GO.02 Beleid informatiebeveiliging.
  • Bepaal op basis van een risicoanalyse welke maatregelen genomen moeten worden. Herhaal deze risicoanalyse ten minste elke drie jaar.
  • Maak je gebruik van cameratoezicht? Pas dan de handreiking Cameratoezicht en het modelreglement Cameratoezicht toe.
  • Rapporteer periodiek aan het schoolbestuur over de status van de maatregelen.
  • Neem bij verhuizing of verbouwing de fysieke beveiliging mee in het ontwerp op basis van een risicoanalyse.

Hulpmiddelen

Gerelateerde wetten en normen

Norm PH.01 Fysieke beveiligingsmaatregelen is gerelateerd aan de ISO-standaard 27001:2022 en het certificeringsschema ROSA.

ISO 27001/2:2022
  • A7.1
  • A7.2
  • A7.3
  • A7.4
  • A7.5
  • A7.8
  • A7.9
  • A7.11
  • A7.12

Certificeringsschema ROSA
  • Vertrouwelijkheid/Fysieke toegang

Alle normen van dit domein

Afdrukken

Op deze pagina