BIO Thema Clouddiensten/Cloudbeveiligingsprincipes binnen het control-aspect: verschil tussen versies
k (status veranderd staat nog actie in om uit te voeren voordat dit live kan) |
k (terugverwijzing toegevoegd) |
||
Regel 6: | Regel 6: | ||
|Versieaanduiding=1.0 | |Versieaanduiding=1.0 | ||
|Status actualiteit=Concept | |Status actualiteit=Concept | ||
|Redactionele wijzigingsdatum=2021/ | |Redactionele wijzigingsdatum=2021/07/06 | ||
|Publicatiedatum=26-02-2020 | |Publicatiedatum=26-02-2020 | ||
|Beschrijving=In onderstaande tabel worden de geïdentificeerde principes beschreven binnen het controlaspect. | |Beschrijving=In onderstaande tabel worden de geïdentificeerde principes beschreven binnen het controlaspect. | ||
Regel 37: | Regel 37: | ||
Afbeelding 17 toevoegen: 'De control-principes gestructureerd conform het SIVA-raamwerk' | Afbeelding 17 toevoegen: 'De control-principes gestructureerd conform het SIVA-raamwerk' | ||
<br><br> | |||
: → [[BIO Thema Clouddiensten/Risico's in relatie met clouddiensten#Dreigingen en/of kwetsbaarheden|Ga terug naar Dreigingen en/of kwetsbaarheden]] | |||
|Heeft bron=BIO Thema Clouddiensten | |Heeft bron=BIO Thema Clouddiensten | ||
}} | }} |
Versie van 6 jul 2021 13:28
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
In onderstaande tabel worden de geïdentificeerde principes beschreven binnen het controlaspect.
ID | Beveiligingsobjecten | Omschrijving |
---|---|---|
C.01 | Service Management beleid en evaluatie clouddiensten | Richtlijnen voor het inrichten van beheerprocessen en voor het evalueren/uitvoeren van controle-activiteiten aangaande clouddiensten. |
C.02 | Risk Control | Het beoordelen van de assessment van dreigingen en kwetsbaarheden en het beoordelen van het beheersen van de onderkende risico’s. |
C.03 | Compliance en Assurance | Onafhankelijke toetsing op de naleving van het overeengekomen beveiligingsbeleid, richtlijnen en procedures, waarmee aan de CSC zekerheid wordt geboden over het beoogde beveiligingsniveau van de aangeboden clouddienst. |
C.04 | Technische kwetsbaarhedenbeheer | Het verzamelen en beheren van security-kwetsbaarheden en issues. Voor wat betreft de services van de CSC, het transparant communiceren van kwetsbaarheden van de genomen (of nog te nemen) maatregelen voor IT en organisatie. |
C.05 | Security Monitoring | Het continu bewaken van- en het rapporteren over security events en rapportage over de geconstateerde afwijking van het overeengekomen beveiligingsniveau. |
C.06 | Clouddiensten beheerorganisatie | De inrichting en het functioneren van de organisatie rond het functioneel- en technisch beheer van clouddiensten en de bijbehorende taken, verantwoordelijkheden en bevoegdheden. |
Toelichting control-aspect
Onderstaande afbeelding toont de dreigingen/kwetsbaarheden van de benoemde principes per invalshoek. De invalshoeken zijn:
Intentie
De organisatie heeft het clouddienstenbeleid vertaald naar een servicemanagementbeleid en evaluatie-richtlijnen voor het inrichten, evalueren en bewaken van het functioneren en van de bescherming van de clouddiensten en activiteiten uitvoeren ten aanzien van het monitoren en reviewen van de risico’s.
Functie
De organisatie heeft beheersingsprocessen ingericht verricht ten aanzien van beveiligingscontroles en kwetsbaarheden van de clouddiensten.
Gedrag
De organisatie verricht in haar processen activiteiten ten aanzien van: monitoren van clouddiensten en technische kwetsbaarheden.
Structuur De organisatie heeft voor de clouddiensten een beheersingsorganisatie ingericht.
Dreigingen/kwetsbaarheden in relatie tot de cloudcontrol-principes
Het control-aspect is op dezelfde wijze geanalyseerd als vermeld bij het beleidsaspect. Ook hier zijn de vermelde dreigingen/kwetsbaarheden en risico’s zijn niet uitputtend benoemd. De relevante principes binnen het control-aspect wordt weergegeven in onderstaande afbeelding.
Afbeelding 17 toevoegen: 'De control-principes gestructureerd conform het SIVA-raamwerk'