Home » Informatiebeveiliging » Domein 5: Configuratiemanagement » Norm CO.02

Norm CO.02 Configuratiedatabase en baseline

Een supporttool en een centrale opslag zijn ingericht voor alle relevante informatie over configuratie-items. Alle middelen en wijzigingen aan deze middelen worden gemonitord en vastgelegd. Na wijzigingen wordt voor ieder systeem en elke dienst als benchmark een baseline van configuratie-items ingevoerd.

Waarom is dit nodig?

Monitoring van de middelen en wijzigingen draagt bij aan het betrouwbaar houden van de systemen van de organisatie. Met configuratiebaselines leg je voor elk systeem en elke dienst een basisconfiguratie vast. Na een wijziging kun je dan altijd teruggaan naar die baseline, als dat nodig is.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc

Basistaken op het gebied van configuratiemanagement, zoals het identificeren en bijhouden van een inventaris van configuratie-items, worden op ad-hoc basis uitgevoerd.
De documentatie van de configuratie is onvolledig en onbetrouwbaar.

2 Herhaalbaar

Configuratiemanagementtools worden soms gebruikt, maar er is geen standaard.
Geïnstalleerde software, configuraties en documentatie worden geregistreerd, maar de gegevensinhoud van opgenomen items is beperkt.

3 Bepaald (streefniveau)

Alle middelen en wijzigingen in middelen worden gemonitord en vastgelegd in een centrale opslagplaats.
De relaties tussen configuratie-items worden geïdentificeerd en bijgehouden.
Een tool voor configuratiemanagement (of een gelijksoortige tool) wordt ingevoerd voor alle platforms.
Er wordt enige automatisering ter ondersteuning gebruikt bij het volgen van wijzigingen in apparatuur en software.
Configuratiebaselines voor componenten worden vastgesteld en gedocumenteerd als benchmark na wijzigingen.
Wijzigingen in de configuratiemanagementdatabase (CMDBCMDB staat voor configuratiemanagementdatabase. Het is een database waarin alle zogeheten configuratie-items van de it-omgeving van een organisatie zijn opgeslagen. Denk aan informatie over gebruikte hardware, software, onderlinge relaties, versienummers, licenties en configuratiebaselines.) worden geregistreerd.

4 Beheerst

Aanvullend op niveau 3:

Er worden geautomatiseerde tools voor het bijhouden van veranderingen in apparatuur en software gebruikt om de standaarden te handhaven en de stabiliteit te verbeteren.
Er zijn mechanismen om wijzigingen te toetsen aan wat is vastgelegd in de centrale opslagplaats en aan de gedefinieerde baseline.
Periodiek worden fysieke controles uitgevoerd.
Wijzigingen die in de configuratiedatabase worden geregistreerd, worden periodiek geanalyseerd.
Er wordt periodiek aan het management gerapporteerd.

5 Continu verbeteren

Aanvullend op niveau 3 en 4:

Alle it-middelen worden in een centrale CMDB beheerd. Dit systeem bevat alle benodigde informatie over componenten en hun onderlinge relaties en informatie over reparatie, service, garantie, upgrades en technische assessments.
Processen en automatisering voor software- en hardware-assetmanagement (inclusief licenties) zijn ingevoerd.
Het management ontvangt periodiek (geautomatiseerde) rapporten

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.

Richt een CMDB in met daarin alle hardware, software, onderlinge relaties, versienummers, licenties en configuratiebaselines.
Hou de CMDB up-to-date. Dat betekent dat bij processen die leiden tot een wijziging in de CMDB, ook een stap is opgenomen voor het bijwerken van de CMDB.

Gerelateerde wetten en normen

Norm CO.02 Configuratiedatabase en baseline is gerelateerd aan de ISO-standaard 27001:2022.

ISO 27001:2022

A5.9
A8.9

Afdrukken