Worden computerruimten en datacenters getoetst? Mbv welke norm?

  • nov 2018
  • Dick de Heer
  • ·
  • Aangepast 27 jun
  • 2
  • 39
Dick de Heer
Toezicht
  • Violet
  • Marieke Klomp
  • Chantal Menting

Vanwege het beheer van niet-overgebrachte digitale informatie dienen ook serverruimten geïnspecteerd te worden.
Binnen de archiefbranche is daartoe in 2009 de 'Checklist serverruimte t.b.v. een e-Depot' opgesteld.

Met alle ontwikkelingen in opslag en gebruik van data vind ik het merkwaardig, maar in Nederland bestaat er geen geaccrediteerde certificering van serverruimten en data centers.
In Duitsland certificeert TÜViT deze voorzieningen sinds 2002.
Wel heeft de NEN heeft in 2014 de Nederlandse praktijkrichtlijn 5313 'Computerruimten en datacenters' gepubliceerd. Maar deze NPR 5313 is per 01-02-2018 ingetrokken, omdat in Europees verband de EN 50600-serie wordt ontwikkeld. Zie https://fhi.nl/app/uploads/sites/30/2017/08/Minkels.pdf

Mijn vragen:

  1. Worden door archiefinspecteurs serverruimtes of data centers getoetst?

  2. Welke norm wordt daarbij gehanteerd?

  3. Als deze toetsing plaatsvindt in het kader van de Baseline Informatiebeveiliging Overheid, naar welke norm wordt dan in de documentatie verwezen?

Reacties

2 reacties, meest recent: 9 november 2018


  • Beste Dick,
    Bedankt voor je interessante vragen. Wij hopen dat de anderen op dit platform ook willen meedenken over deze kwestie. Eerst maar eens hoe wij over deze vragen denken.

    1. Volgens ons zou dit wel moeten. Wij maakten de vergelijking naar het dynamische archief. In de analoge situatie had de archiefinspecteur ook een oordeel over de kasten op de afdelingen. Waarom zou dit in digitale situatie niet zo zijn?
    2. De normen bij ons bekend zijn RODIN, ED3 en voor ICT de COBIT normen. Daarnaast heeft stadsarchief Rotterdam ook een checklist gemaakt.
    3. De BIG wordt getoetst in de ENSIA audit. Je zou een van die rapporten er op na kunnen slaan hoe daar in verwezen wordt.
    Wij zijn erg benieuwd hoe andere inspecteurs hierin staan. Misschien is het leuk om met een paar enthousiastelingen hierin te duiken en een werkgroep te starten om dit verder uit te zoeken en te kijken welke normen van toepassing zijn.

    Hartelijke groet,
    Maaike & Chantal

    Chantal Menting

  • Dag Dick, Chantal en Maaike,

    Interessante vragen. In het kort mijn eerste reactie op de drie vragen die Dick stelt:
    1. Voor zover ik weet is dit niet het geval.
    2. Ik sluit me aan bij Maaike en Chantal, waarbij ik graag wil opmerken dat Rodin inmiddels al op leeftijd is.
    3. Geen idee, maar je kunt de BIG erop naslaan- die is vrij toegankelijk als open data.

    Ik vraag me af of een dergelijke inspectie haalbaar is voor de archiefinspecteur. Het is een behoorlijk specialistische toets met snel evoluerende normen. Als het gaat om de vergelijking met de analoge kast: uiteindelijk gaat het om de inhoud van de kast. De kast zelf is voor mij alleen van belang als die de inhoudt schaadt. Ik denk dat je het verschil beter maakt op functioneel niveau en kijkt of informatiebeheer aan tafel zit.
    Wat betreft de ENSIA-audit: deze heeft een specifieke context, namelijk de kwaliteit van de ICT toetsen met betrekking tot de basisregistraties. De ICT-normen waren eerst opgenomen in de inhoudelijke toetsen van de BRP, BAG etc. Deze werden meegenomen door de specialisten op het gebied van BRP, BAG, BGT etc. Ze zijn eruit gehaald en gebundeld in de ENSIA-normen om twee redenen:
    - Eenmaal toetsen, in plaats van tig keer bij de inhoudelijke toetsen
    - Specialisten toetsen het werk van specialisten. De specialisten op het gebied van BRP, BAG (...vul maar in) hebben weinig tot geen specialistische ICT-kennis en kunnen dus inhoudelijk geen goed oordeel vellen over de ICT-voorzieningen. ICT lepelt bij audits keurig handboeken voor calamiteiten, back-up en restore op, maar de BRP/BAG/...-auditor kan alleen constateren dat er een document aanwezig is en niet of de inhoud van het document zinnig is, volgens de juiste en meest recente kwaliteitsstandaarden enzovoorts. Bij de basisregistraties hebben ze dus juist de tegengestelde beweging gemaakt.
    Ik zou dus hierbij eerder de samenwerking opzoeken met de CISO of iets dergelijks en leunen op diens expertise.
    Groeten,

    Marieke

    Marieke Klomp

Trefwoorden

Verken