Check-Privacy voor ondersteuning bij uw implementatie van: | AVG | Verwerkersovereenkomsten | Registers | Privacy-Statements | ISO 27001 | NEN 7510 | ISO 9001 | Pentesten | 

A.11 Fysieke beveiliging

A.11   Fysieke beveiliging en beveiliging van de omgeving
A.11.1   Beveiligde gebieden

Doelstelling: Onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en
informatieverwerkende faciliteiten van de organisatie voorkomen.
A.11.1.1 09.1.2.1 Fysieke beveiligingszone

ISO:
Beveiligingszones moeten worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatieverwerkende faciliteiten bevatten.

NEN:
Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten gebruikmaken van beveiligde zones om gebieden te beschermen die informatieverwerkingsfaciliteiten bevatten die dergelijke gezondheidstoepassingen ondersteunen. Deze beveiligde gebieden moeten worden beschermd door passende en voor de fysieke toegang om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt.
A.11.1.2 09.1.2.1 Fysieke toegangsbeveiliging

ISO:
Beveiligde gebieden moeten worden beschermd door passende toegangsbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt.
A.11.1.3 09.1.3.1 Kantoren, ruimten en faciliteiten beveiligen

ISO:
Voor kantoren, ruimten en faciliteiten moet fysieke beveiliging worden ontworpen en toegepast.
A.11.1.4 Geen BIG Beschermen tegen bedreigingen van buitenaf

ISO:
Tegen natuurrampen, kwaadwillige aanvallen of ongelukken moet fysieke bescherming worden ontworpen en toegepast.
A.11.1.5 Geen BIG Werken in beveiligde gebieden

Voor het werken in beveiligde gebieden moeten procedures worden ontwikkeld en toegepast.
A.11.1.6 Geen BIG Laad- en loslocatie

ISO:
oegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein kunnen betreden, moeten worden beheerst, en zo mogelijk worden afgeschermd van informatieverwerkende faciliteiten om onbevoegde toegang te vermijden.
A.11.2   Apparatuur

Doelstelling: Verlies, schade, diefstal of compromittering van bedrijfsmiddelen en onderbreking van de bedrijfsvoering van de organisatie voorkomen.
A.11.2.1 Geen BIG Plaatsing en bescherming van apparatuur

ISO:
Apparatuur moet zo worden geplaatst en beschermd dat risico’s van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind.
A.11.2.2 Geen BIG Nutsvoorzieningen

ISO:
Apparatuur moet worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen.
A.11.2.3 Geen BIG Beveiliging van bekabeling

ISO:
Voedings- en telecommunicatiekabels voor het versturen van gegevens of die informatiediensten ondersteunen, moeten worden beschermd tegen interceptie, verstoring of schade
A.11.2.4 Geen BIG Onderhoud van apparatuur

ISO:
Apparatuur moet correct worden onderhouden om de continue beschikbaarheid en integriteit ervan te waarborgen.
A.11.2.5 09.2.7.1 Verwijdering van bedrijfseigendommen

ISO:
Apparatuur, informatie en software mogen niet van de locatie worden meegenomen zonder voorafgaande goedkeuring.

NEN:
Organisaties die uitrusting, gegevens of software voor het ondersteunen van een zorgtoepassing met persoonlijke gezondheidsinformatie leveren of gebruiken, mogen niet toestaan dat die uitrusting, gegevens of software van de locatie wordt of worden verwijderd of er binnen wordt of worden verplaatst zonder dat de organisatie hiervoor haar goedkeuring heeft gegeven.
A.11.2.6 Geen BIG Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein

ISO:
Bedrijfsmiddelen die zich buiten het terrein bevinden, moeten worden beveiligd, waarbij rekening moet worden gehouden met de verschillende risico’s van werken buiten het terrein van de organisatie. 

NEN:
Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten garanderen dat het eventuele gebruik buiten hun gebouw van medische apparaten die worden gebruikt om gegevens te registreren of te rapporteren, geautoriseerd is. Dit moet apparatuur omvatten die door werknemers op afstand wordt gebruikt, zelfs indien dit gebruik permanent is (d.w.z. waar het een kernaspect is van de rol van de werknemer, zoals het geval is bij ambulancepersoneel, therapeuten enz.)
A.11.2.7 09.2.6.1 Veilig verwijderen en hergebruiken van apparatuur

ISO:
Alle onderdelen van de apparatuur die opslagmedia bevatten, moeten worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of veilig zijn overschreven. Bij beëindiging van het gebruik, of bij een defect, van apparaten en informatiedragers wordt zorggedragen voor een verantwoorde afvoer zodat er geen data op het apparaat aanwezig of toegankelijk is. Als dit niet kan wordt het apparaat of de informatiedrager fysiek vernietigd. Het afvoeren of vernietigen van gegevensdragers met persoonsgegevens van de verantwoordelijke wordt geregistreerd.

NEN:
Organisaties die gezondheidsinformatie verwerken, moeten alle media met toepassingssoftware voor gezondheidsinformatie of persoonlijke  
gezondheidsinformatie erop veilig wissen of vernietigen als ze niet meer gebruikt hoeven te worden.
A.11.2.8 11.3.2.1 Onbeheerde gebruikersapparatuur

ISO:
Gebruikers moeten ervoor zorgen dat onbeheerde apparatuur voldoende beschermd is. "De gebruiker vergrendelt de werkplek tijdens afwezigheid. (zie ook: 11.5.5) 



"
A.11.2.9 11.3.3.1 ‘Clear desk’- en ‘clear screen’- beleid

ISO:
Er moet een ‘clear desk’-beleid voor papieren documenten en verwijderbare opslagmedia en een ‘clear screen’-beleid voor informatieverwerkende faciliteiten worden ingesteld. In het clear desk beleid staat minimaal dat de gebruiker geen vertrouwelijke informatie op het bureau mag laten liggen. Deze informatie moet altijd worden opgeborgen in een afsluitbare opbergmogelijkheid (kast, locker, bureau of kamer). 

Afdrukken