ISM Guidelines

ISM ICT Equipment: Hardware Security en Disposal

📊 Operationeel 👥 IT Operations, Asset Management ⏱️ 8 min lezen
Office ATP Policies Safe Attachments Enabled for all users Safe Links Enabled for all users Anti-phishing Enabled with impersonation protection Safe Documents Enabled for Office apps 4 Policies
Executive Summary

Deze richtlijn binnen de Nederlandse Baseline voor Veilige Cloud beschrijft hoe overheidsorganisaties ICT‑apparatuur – zoals servers, werkstations, laptops, tablets, smartphones, netwerkcomponenten en opslagmedia – veilig beheren gedurende de volledige levenscyclus: van aanschaf en ingebruikname tot en met vervanging, hergebruik en definitieve verwijdering. De nadruk ligt op fysieke beveiliging van apparatuur, het voorkomen van ongeautoriseerde toegang tot gegevens, en het zorgvuldig organiseren van beheerprocessen zodat geen enkel apparaat buiten beeld raakt. Door duidelijke verantwoordelijkheden, sluitende registratie, gecontroleerde opslag en transport, en aantoonbaar veilige sanitisatie en vernietiging van gegevensdragers wordt het risico op datalekken, misbruik van overheidsinformatie en verstoring van dienstverlening aanzienlijk verkleind. Deze pagina biedt de operationele uitgangspunten; voor diepgaande technische hardeningmaatregelen wordt aangesloten op de System Hardening‑pagina’s binnen het bredere framework.

ICT Equipment Controls

In Nederlandse overheidsorganisaties vormt ICT‑apparatuur de ruggengraat van vrijwel alle primaire en ondersteunende processen. Servers, netwerkapparatuur, laptops, tablets, smartphones, thin clients en externe opslagmedia verwerken en bewaren dagelijks grote hoeveelheden vaak gevoelige of vertrouwelijke informatie. De beveiliging van deze apparatuur kan niet worden teruggebracht tot alleen technische maatregelen zoals versleuteling of endpoint‑beveiliging; een solide benadering van hardware security vereist een samenhangende combinatie van fysieke beveiliging, procesafspraken, registratie, toezicht en veilig afvoeren.

Een eerste pijler is het organiseren van een volledige en betrouwbare registratie van alle ICT‑apparatuur. Elke server, laptop, tablet, telefoon, router en switch krijgt een uniek identificatienummer, is gekoppeld aan een eigenaar of verantwoordelijke functionaris en heeft een vastgelegde locatie en status. Deze assetregistratie wordt actief bijgehouden: bij uitgifte, verplaatsing, onderhoud, reparatie, tijdelijk gebruik en bij terugname. Zonder deze zichtbaarheid is het onmogelijk om met zekerheid te zeggen waar gevoelige apparatuur zich bevindt en welke gegevens daarop kunnen zijn opgeslagen.

Een tweede pijler is de fysieke beveiliging van apparatuur in datacenters, serverruimtes, kasten en kantooromgevingen. Voor centrale voorzieningen betekent dit dat ruimtes alleen toegankelijk zijn voor geautoriseerd personeel, dat toegang wordt gelogd, en dat racks en kasten afsluitbaar zijn. In kantooromgevingen gaat het om het voorkomen van onbeheerd achtergelaten apparatuur, het gebruik van kabelsloten waar passend, en duidelijke clean desk‑ en clean screen‑afspraken. Mobiele apparaten worden altijd opgeborgen in afsluitbare kasten of kluizen wanneer ze niet in gebruik zijn, zeker buiten kantooruren of tijdens transport.

Een derde pijler betreft de bescherming van de gegevens op de apparatuur zelf. Overheidsorganisaties zorgen ervoor dat gegevensdragers – zoals harde schijven, SSD’s, USB‑sticks en geheugenkaarten – waar mogelijk standaard worden versleuteld, zodat verlies of diefstal niet automatisch leidt tot een datalek. Daarnaast worden standaardconfiguraties toegepast waarbij alleen strikt noodzakelijke functionaliteit is ingeschakeld en beheerinterfaces zijn afgeschermd. Technische hardeningrichtlijnen worden vastgelegd in aparte System Hardening‑documenten, maar zijn onlosmakelijk verbonden met de operationele controle op apparatuurbeheer.

Naast installatie en gebruik is ook onderhoud georganiseerd en gecontroleerd. Externe leveranciers die apparatuur repareren of vervangen, krijgen alleen toegang tot de strikt noodzakelijke componenten en werken op basis van verwerkers‑ of onderhoudsovereenkomsten waarin eisen aan informatiebeveiliging, geheimhouding en omgang met gegevensdragers zijn vastgelegd. Defecte schijven of complete apparatuur verlaten nooit onbegeleid een beveiligde omgeving; eerst wordt beoordeeld of gegevens veilig zijn verwijderd, of dat fysieke vernietiging noodzakelijk is.

Een cruciaal onderdeel van de beheersmaatregelen betreft het veilig buiten gebruik stellen en afvoeren van apparatuur. Voordat apparaten worden hergebruikt, teruggegeven aan de leverancier, verkocht of vernietigd, wordt een gestandaardiseerde sanitisatieprocedure doorlopen. Hierbij worden gegevensdragers gewist volgens vastgelegde en aantoonbaar effectieve methoden, bijvoorbeeld door meerdere overschrijfcycli of door inzet van gecertificeerde wiper‑tools. Indien sanitisatie niet mogelijk of niet voldoende betrouwbaar is, wordt gekozen voor gecontroleerde fysieke vernietiging door een gecertificeerde partij, inclusief vernietigingscertificaat en vastlegging in de administratie.

Tijdens de volledige levensduur wordt regelmatig gecontroleerd of de genomen maatregelen daadwerkelijk worden nageleefd. Dit gebeurt via steekproeven op de assetregistratie, fysieke rondes langs werkplekken en serverruimtes, en audits op uitgifte‑ en innameprocessen. Aangetroffen afwijkingen – zoals niet‑geregistreerde apparatuur, onbeveiligde opslag of ontbrekende vernietigingscertificaten – worden geregistreerd als beveiligingsincident en leiden tot verbetermaatregelen. Op deze manier ontstaat een continue verbetercyclus waarbij procesafspraken, instructies en bewustwordingsactiviteiten steeds verder worden aangescherpt.

Tot slot is bewustwording van medewerkers essentieel. Gebruikers en beheerders worden geïnstrueerd over hun rol in het veilig omgaan met apparatuur: zij weten dat verlies of diefstal onmiddellijk moet worden gemeld, dat onbeheerde opslag van laptops of telefoons in publieke ruimtes onacceptabel is en dat apparatuur bij functiewijziging of uitdiensttreding altijd formeel moet worden ingeleverd. Door deze aanpak – waarin registratie, fysieke beveiliging, technische maatregelen, gecontroleerde sanitisatie en duidelijke verantwoordelijkheden samenkomen – worden ICT‑assets daadwerkelijk beschermd en sluit het beheer van apparatuur naadloos aan op de bredere System Hardening‑richtlijnen van de Nederlandse Baseline voor Veilige Cloud.

Conclusie

Door ICT‑apparatuur te benaderen als een kritische assetcategorie met een eigen levenscyclus, waarin registratie, fysieke beveiliging, technische hardening, gecontroleerd onderhoud en aantoonbaar veilige sanitisatie samenkomen, kunnen Nederlandse overheidsorganisaties het risico op datalekken en verstoringen van dienstverlening aanzienlijk beperken. Deze richtlijn voor ICT Equipment vormt de operationele aanvulling op de System Hardening‑pagina’s binnen de Nederlandse Baseline voor Veilige Cloud en biedt een praktisch kader om beleid, processen en technische maatregelen op elkaar af te stemmen.

ISM ICT Equipment