Beveiligingsorganisatie clouddiensten: verschil tussen versies
k (grondslag aangepast) |
k (grondslag uitgebreid) |
||
Regel 6: | Regel 6: | ||
|Status actualiteit=Actueel | |Status actualiteit=Actueel | ||
|Px=300 | |Px=300 | ||
|Redactionele wijzigingsdatum=2021/ | |Redactionele wijzigingsdatum=2021/08/13 | ||
|Publicatiedatum=2020/02/26 | |Publicatiedatum=2020/02/26 | ||
|Beschrijving=De beveiligingsfunctie omvat de geformaliseerde taken en verantwoordelijkheden met betrekking tot de clouddiensten. Binnen de beveiligingsfunctie is geregeld dat contact wordt onderhouden met verantwoordelijken binnen de CSC-organisatie wanneer sprake is van beveiligingsincidenten. | |Beschrijving=De beveiligingsfunctie omvat de geformaliseerde taken en verantwoordelijkheden met betrekking tot de clouddiensten. Binnen de beveiligingsfunctie is geregeld dat contact wordt onderhouden met verantwoordelijken binnen de CSC-organisatie wanneer sprake is van beveiligingsincidenten. | ||
Regel 15: | Regel 15: | ||
|Beveiligingsaspect=Beleid | |Beveiligingsaspect=Beleid | ||
|Invalshoek=Structuur | |Invalshoek=Structuur | ||
|Grondslag=* NEN-ISO/IEC 27002: 6.1 en 6.2 | |Grondslag=* BIO (Baseline Informatiebeveiliging Overheid): 6.1 | ||
* NEN-ISO/IEC 27002: 6.1 en 6.2 | |||
* CIP-netwerk | * CIP-netwerk | ||
* The Standard of Good Practice for Information Security 2018 | * The Standard of Good Practice for Information Security 2018 |
Versie van 13 aug 2021 17:32
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Verwante principes |
De beveiligingsfunctie omvat de geformaliseerde taken en verantwoordelijkheden met betrekking tot de clouddiensten. Binnen de beveiligingsfunctie is geregeld dat contact wordt onderhouden met verantwoordelijken binnen de CSC-organisatie wanneer sprake is van beveiligingsincidenten.
De beveiligingsorganisatie van de CSP ziet toe op het naleven van haar informatiebeveiligingsbeleid, haar clouddienstenbeleid en overig hieraan gerelateerd beleid. Waar nodig grijpt de beveiligingsorganisatie in. De taken, verantwoordelijkheden, bevoegdheden en middelen die de beveiligingsorganisatie hiervoor heeft, zijn vooraf expliciet, in relatie tot de CSC, benoemd en vastgesteld. Ook moet vooraf vaststaan hoe de rapportagelijnen tussen de beveiligingsverantwoordelijken zijn georganiseerd.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Beleid;
- valt binnen de Invalshoek Structuur.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is CIP-netwerk
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
CLD_B.10.01 | Beveiligingsfunctie |
De beveiligingsfunctie, die geleid wordt door een Chief Security Officer (CSO), ondersteunt de Cloud Service Provider (CSP) voor het bewerkstelligen en promoten van het cloud-beveiligingsbeleid door het:
|
CLD_B.10.02 | Beveiligingsfunctie |
De beveiligingsfunctie voorziet in proactieve ondersteuning van:
|
CLD_B.10.03 | Organisatorische positie |
De Cloud Service Provider (CSP) heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegeven. |
CLD_B.10.04 | Taken, verantwoordelijkheden en bevoegdheden |
De Cloud Service Provider (CSP) heeft de verantwoordelijkheden bij informatiebeveiliging voor het definiëren, coördineren en evalueren beschreven en toegewezen aan specifieke functionarissen. |
CLD_B.10.05 | Taken, verantwoordelijkheden en bevoegdheden |
De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix. |
CLD_B.10.06 | Functionarissen |
De belangrijkste functionarissen (stakeholders) voor informatiebeveiliging zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt. |
CLD_B.10.07 | Rapportagelijnen |
De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld. |
CLD_B.10.08 | Rapportagelijnen |
Het type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld. |