Norm CO.01 Identificatie en onderhoud van configuratie-items
Waarom is dit nodig?
Als er verstoringen ontstaan in systemen en diensten, is het essentieel dat je inzicht hebt in de wijzigingen van de configuratie van die systemen en diensten. Omdat je dan kunt nagaan of die verstoringen samenhangen met de wijzigingen. Deze configuraties zijn vastgelegd in de CMDBCMDB staat voor configuratiemanagementdatabase. Het is een database waarin alle zogeheten configuratie-items van de it-omgeving van een organisatie zijn opgeslagen. Denk aan informatie over gebruikte hardware, software, onderlinge relaties, versienummers, licenties en configuratiebaselines.. Wijzigingen in configuraties moet je ook vastleggen in de CMDB. Zo kan de database je helpen om de oorzaak van de verstoringen te vinden en krijg je inzicht in het effect van een wijziging op andere processen.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er is geen configuratieprocedure.
- Werkwijzen en procedures worden uitsluitend individueel toegepast en verschillen per platform.
2 Herhaalbaar
- Er is een configuratieprocedure vastgesteld om configuratie-items te identificeren en te onderhouden, maar deze procedure is niet geformaliseerd.
- De data-inhoud van geregistreerde items wordt niet gebruikt door gerelateerde processen, zoals change-, incident- en problemmanagementHet beheren van een reeks incidenten met onbekende hoofdoorzaak..
3 Bepaald (streefniveau)
- Er bestaan geformaliseerde configuratieprocedures en werkmethoden om alle configuratie-items en hun attributen te identificeren en te onderhouden.
- De procedure is afgestemd met procedures voor change-, incident- en problemmanagement.
- De procedure is gedocumenteerd, gestandaardiseerd en gecommuniceerd.
- Er is beleid voor het labelen van fysieke bedrijfsmiddelen en nieuwe bedrijfsmiddelen worden geregistreerd in het inkoopproces.
- Er zijn processen ingevoerd voor het beheer van aangeschafte, toegewezen, gearchiveerde en verlopen licenties die ervoor zorgen dat aan de licentievoorwaarden en afspraken voldaan wordt.
4 Beheerst
Aanvullend op niveau 3:
- Er is een proces voor het periodiek evalueren van relevante documentatie, tijdige uitvoering en integriteit van de configuratiedatabase (inclusief licenties).
- De implementatie en uitvoering van relevante procedures voor het configuratiemanagement worden periodiek geëvalueerd.
- Er wordt regelmatig aan het management gerapporteerd, wat leidt tot verbeterplannen.
- Procedures en standaarden zijn onderdeel van training.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Er wordt voortdurend geanalyseerd of er afwijkingen zijn. Gevonden afwijkingen worden onderzocht.
- Gebreken en trends worden gerapporteerd aan het management.
- Gerelateerde processen zijn volledig geïntegreerd, en configuratiedata wordt geautomatiseerd gebruikt en actueel gehouden.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.
- Stel een procedure configuratiemanagement op en stel deze vast. De procedure bevat elementen zoals het labelen van bedrijfsmiddelen en centraal registreren van de aanschaf van soft- en hardware.
Gerelateerde wetten en normen
Norm CO.01 Identificatie en onderhoud van configuratie-items is gerelateerd aan de ISO-standaard 27001:2022.
ISO 27001:2022
- A5.9
- A8.9
- A8.19
- A8.32