Norm CO.02 Configuratiedatabase en baseline
Een supporttool en een centrale opslag zijn ingericht voor alle relevante informatie over configuratie-items. Alle middelen en wijzigingen aan deze middelen worden gemonitord en vastgelegd. Na wijzigingen wordt voor ieder systeem en elke dienst als benchmark een baseline van configuratie-items ingevoerd.
Waarom is dit nodig?
Monitoring van de middelen en wijzigingen draagt bij aan het betrouwbaar houden van de systemen van de organisatie. Met configuratiebaselines leg je voor elk systeem en elke dienst een basisconfiguratie vast. Na een wijziging kun je dan altijd teruggaan naar die baseline, als dat nodig is.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Basistaken op het gebied van configuratiemanagement, zoals het identificeren en bijhouden van een inventaris van configuratie-items, worden op ad-hoc basis uitgevoerd.
- De documentatie van de configuratie is onvolledig en onbetrouwbaar.
2 Herhaalbaar
- Configuratiemanagementtools worden soms gebruikt, maar er is geen standaard.
- Geïnstalleerde software, configuraties en documentatie worden geregistreerd, maar de gegevensinhoud van opgenomen items is beperkt.
3 Bepaald (streefniveau)
- Alle middelen en wijzigingen in middelen worden gemonitord en vastgelegd in een centrale opslagplaats.
- De relaties tussen configuratie-items worden geïdentificeerd en bijgehouden.
- Een tool voor configuratiemanagement (of een gelijksoortige tool) wordt ingevoerd voor alle platforms.
- Er wordt enige automatisering ter ondersteuning gebruikt bij het volgen van wijzigingen in apparatuur en software.
- Configuratiebaselines voor componenten worden vastgesteld en gedocumenteerd als benchmark na wijzigingen.
- Wijzigingen in de configuratiemanagementdatabase (CMDBCMDB staat voor configuratiemanagementdatabase. Het is een database waarin alle zogeheten configuratie-items van de IT-omgeving van een organisatie zijn opgeslagen. Denk aan informatie over gebruikte hardware, software, onderlinge relaties, versienummers, licenties en configuratiebaselines.) worden geregistreerd.
4 Beheerst
Aanvullend op niveau 3:
- Er worden geautomatiseerde tools voor het bijhouden van veranderingen in apparatuur en software gebruikt om de standaarden te handhaven en de stabiliteit te verbeteren.
- Er zijn mechanismen om wijzigingen te toetsen aan wat is vastgelegd in de centrale opslagplaats en aan de gedefinieerde baseline.
- Periodiek worden fysieke controles uitgevoerd.
- Wijzigingen die in de configuratiedatabase worden geregistreerd, worden periodiek geanalyseerd.
- Er wordt periodiek aan het management gerapporteerd.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Alle IT-middelen worden in een centrale CMDB beheerd. Dit systeem bevat alle benodigde informatie over componenten en hun onderlinge relaties en informatie over reparatie, service, garantie, upgrades en technische assessments.
- Processen en automatisering voor software- en hardware-assetmanagement (inclusief licenties) zijn ingevoerd.
- Het management ontvangt periodiek (geautomatiseerde) rapporten
Voorbeelddocumenten
Gerelateerde wetten en normen
Norm CO.02 Configuratiedatabase en baseline is gerelateerd aan de ISO-standaard 27001:2022.
ISO 27001:2022
- A5.9
- A8.9