ISOR/normen tabel

Uit NORA Online
Ga naar: navigatie, zoeken

ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.

Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.

Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.

In deze tabel staan alle normen uit BIO Thema-uitwerking Clouddiensten, met het unieke ID, de

conformiteitsindicator uit het principe dat het uitwerkt en de daadwerkelijke norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv download en in uitgebreide versie met alle bestaande eigenschappen.
IDConformiteitsindicatorStellingRealiseert bovenliggend principeBeveiligingsaspect
CLD_B.01.01Wettelijke, statutaire en regelgevende eisenDe Cloud Service Provider (CSP) informeert de Cloud Service Consumer (CSC) welke wet- en regelgeving van toepassing is op clouddiensten.Wet- en regelgeving ClouddienstenBeleid
CLD_B.01.02Wettelijke, statutaire en regelgevende eisenDe Cloud Service Provider (CSP) identificeert haar eigen relevante wettelijke eisen (zoals Algemene Verordening Gegevensbescherming (AVG)-eisen en encryptietoepassing) om persoonsgegevens te kunnen beschermen.Wet- en regelgeving ClouddienstenBeleid
CLD_B.01.03Wettelijke, statutaire en regelgevende eisenDe voor de Cloud Service Consumer (CSC) van toepassing zijnde vereisten die voortvloeien uit wet- en regelgeving zijn geïdentificeerd, vooral waar het gaat om geografische gedistribueerde verwerkingen, opslag en communicatie waarvoor verschillende wetgeving bestaat, zoals maatregelen die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG).Wet- en regelgeving ClouddienstenBeleid
CLD_B.01.04Wettelijke, statutaire en regelgevende eisenDe Cloud Service Provider (CSP) voorziet de Cloud Service Consumer (CSC) van zekerheid (op bewijs gebaseerde compliancy-rapportage) over (het voldoen aan) de van toepassing zijnde wettelijke eisen en contractuele vereisten.Wet- en regelgeving ClouddienstenBeleid
CLD_B.01.05Contractuele eisenVoor clouddiensten zijn, om aan de wettelijke en contractuele eisen te kunnen voldoen, specifieke maatregelen getroffen en verantwoordelijkheden benoemd.Wet- en regelgeving ClouddienstenBeleid
CLD_B.01.06AanpakDe Cloud Service Provider (CSP) heeft, om aan de eisen van de Cloud Service Consumer (CSC) te kunnen voldoen, alle wet- en regelgeving die op haar van toepassing is op de clouddienstverlening vastgesteld.Wet- en regelgeving ClouddienstenBeleid
CLD_B.02.01CloudbeveiligingsstrategieDe cloudbeveiligingsstrategie van de Cloud Service Provider (CSP) geeft aan op welke wijze zij de bedrijfsdoelstellingen van Cloud Service Consumer (CSC)(’s) ondersteunt door onder andere te beschrijven:
  • een evenwichtige set van beveiligingsmaatregelen, waarin aandacht wordt besteed aan risicomanagement;
  • hoe (functioneel) cloud-beveiliging de weerbaarheid tegen hoge impactincidenten bewerkstelligt.
CloudbeveiligingsstrategieBeleid
CLD_B.02.02CloudbeveiligingsstrategieDe cloudbeveiligingsstrategie van de Cloud Service Provider (CSP):
  • geeft onder andere aan hoe zij Cloud Service Consumers (CSC’s) tegen bedreigingen beschermt;
  • besteedt aandacht aan de huidige beveiligingscontext van de CSP, inclusief vaardigheden, capaciteiten en informatiebeveiligingsfunctie.
  • CloudbeveiligingsstrategieBeleid
    CLD_B.02.03SamenhangtDe samenhang van beveiligingsmaatregelen van de Cloud Service Provider (CSP) ondersteunt het behalen van de bedrijfsdoelen van de Cloud Service Consumer (CSC). Hierin wordt aangegeven:
  • in welke mate de cloudbeveiligingsstrategie van de CSP in lijn is met de organisatiebrede doelstellingen van de CSC;
  • hoe de cloud-beveiligingsgovernance van de CSC wordt ondersteund door het management van de CSP;
  • dat de clouddiensten gedocumenteerd zijn en regelmatig worden gereviewd.
  • CloudbeveiligingsstrategieBeleid
    CLD_B.03.01BepalingenDe Cloud Service Consumer (CSC) legt in de overeenkomst een aantal bepalingen over de exit-regeling vast, zoals:
  • De exit-bepaling geldt zowel bij het einde van de overeenkomst als om valide redenen aangedragen door de CSC (zie conformiteitsindicator Condities).
  • De overeenkomst (en eventuele verwerkersovereenkomst) duurt voort totdat de exit-regeling helemaal is uitgevoerd.
  • De opzegtermijn geeft voldoende tijd om te kunnen migreren.
  • Data en configuratiegegevens (indien relevant) mogen pas na succesvolle migratie verwijderd worden.
  • Door een onafhankelijke partij wordt gecontroleerd en vastgesteld dat alle data is gemigreerd.
  • De exit-regeling wordt aangepast/anders ingevuld als de software die gebruikt wordt voor de clouddienst is gewijzigd.
  • Exit-strategie clouddienstenBeleid
    CLD_B.03.02ConditiesDe Cloud Service Consumer (CSC) kan buiten het verstrijken van de contractperiode besluiten over te gaan tot exit als sprake is van aspecten die gerelateerd zijn aan:
  • Contracten:
    • niet beschikbaarheid zijn van afgesproken performance;
    • eenzijdige wijziging door de Cloud Service Provider (CSP) van de Service Level Agreement (SLA);
    • prijsverhoging.
  • Geleverde prestatie/ondersteuning:
    • onvoldoende compensatie voor storingen;
    • niet leveren van de afgesproken beschikbaarheid of performance;
    • gebrekkige support.
  • Clouddienst(en):
    • nieuwe eigenaar of nieuwe strategie;
    • end-of-life van clouddienst(en);
    • achterwege blijvende features.
  • Exit-strategie clouddienstenBeleid
    CLD_B.04.01Cloud-beveiligingsbeleidHet cloud-beveiligingsbeleid bevat:
  • Organische georiënteerde maatregelen:
    • informatiebeveiligingsvereisten die van toepassing zijn bij het ontwerp en de implementatie van cloud-services;
    • communicatie met de Cloud Service Consumer (CSC) in relatie tot en tijdens wijzigingen;
    • communicatie van beveiligingsinbreuken en het delen van informatie;
    • richtlijnen voor de ondersteuning van (forensische) onderzoeken;
    • compliancy-maatregelen op wet- en regelgeving.
  • Technisch georiënteerde maatregelen:
    • multi-tenancy en isolatie van de CSC;
    • toegangsprocedures, bijvoorbeeld sterke authenticatie voor toegang tot cloud-services;
    • toegang tot en protectie van de data van de CSC;
    • levenscyclusmanagement van CSC-accounts;
    • risico’s gerelateerd aan niet geautoriseerde insiders;
    • virtualisatie beveiliging;
    • beveiligingsarchitectuur en -maatregelen voor het beschermen van data, applicaties en infrastructuur.
  • ClouddienstenbeleidBeleid
    CLD_B.05.01SysteembeschrijvingDe systeembeschrijving bevat de volgende aspecten:
  • typen en scope van clouddiensten weergegeven met Service Level Agreements (SLA’s);
  • principes, procedures en maatregelen om ontwikkeling en operationalisering weer te geven;
  • beschrijving van de infrastructuurcomponenten die deel uitmaken van het ontwikkelen en operationaliseren van clouddiensten;
  • hoe met beveiligingsincidenten wordt omgegaan;
  • rollen en verantwoordelijkheden van de Cloud Service Provider (CSP) en Cloud Service Consumer (CSC), inclusief de verplichting om samen te werken;
  • (welke) onderdelen van de clouddiensten en/of functies toegekend of uitbesteed zijn aan sub-contractanten.
  • TransparantieBeleid
    CLD_B.05.02JurisdictieDe Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie van jurisdictie over dataopslag, verwerking en back-up-locatie, ook als deze (of delen hiervan) uitbesteed is aan subcontractors.TransparantieBeleid
    CLD_B.05.03OnderzoeksmogelijkhedenDe Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie voor publicatievereisten en onderzoeksmogelijkheden.TransparantieBeleid
    CLD_B.05.04CertificatenDe Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie over het beschikbaar zijn van valide certificaten.TransparantieBeleid
    CLD_B.06.01VerantwoordelijkhedenDe verantwoordelijkheden van de Cloud Service Provider (CSP) zijn onder andere het:
  • ontwikkelen van het risicomanagementproces voor informatiebeveiliging dat toegespitst is op de omgeving van de CSP;
  • identificeren van analyses van de stakeholders;
  • definiëren van de rollen en verantwoordelijkheden van in- en externe partijen;
  • vaststellen van de vereiste relaties tussen de eigen organisatie en stakeholders en de relatie met de hoog niveau risicomanagementfunctie en met relevante projecten of activiteiten.
  • RisicomanagementBeleid
    CLD_B.06.02VerantwoordelijkhedenDe organisatie van het risicomanagementproces is goedgekeurd door managers van de Cloud Service Provider (CSP).RisicomanagementBeleid
    CLD_B.06.03RisicomanagementprocesHet risicomanagementproces is systematisch beschreven met aandacht voor beleid, procedures en richtlijnen voor activiteiten over communiceren, adviseren, vaststellen van de context van onderzoeken, behandelen, monitoren, reviewen, vastleggen en rapporteren van risico’s.RisicomanagementBeleid
    CLD_B.07.01IT-functionaliteitenVoor de beveiliging van IT-functionaliteiten (verwerking, opslag, transport en opvraag van informatie) zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.IT-functionaliteitBeleid
    CLD_B.07.02IT-functionaliteitenTechnische beveiligingsmaatregelen in de vorm van sterke toegangsbeveiliging, encryptie en data-analysemethoden zijn getroffen tegen bescherming van de infrastructuur.IT-functionaliteitBeleid
    CLD_B.07.03IT-functionaliteitenDe IT-infrastructuur wordt, om veilige clouddiensten te kunnen verlenen, continue bewaakt en beheerst ter bescherming tegen bedreigingen.IT-functionaliteitBeleid
    CLD_B.07.04Robuuste en beveiligde systeemketenDe infrastructuur wordt ingericht met betrouwbare hardware- en softwarecomponenten.IT-functionaliteitBeleid
    CLD_B.07.05Robuuste en beveiligde systeemketenEr zijn gedocumenteerde standaarden en procedures om geavanceerde cyberaanvallen het hoofd te bieden.IT-functionaliteitBeleid
    CLD_B.08.01Verantwoordelijkheid voor BCMDe Cloud Service Provider (CSP) heeft een proceseigenaar voor het Bedrijfscontinuïteitsmanagement (BCM)-proces benoemd en hem verantwoordelijk gegeven voor het vormgeven van BCM en compliancy met het uitgestippeld beleid.BedrijfscontinuïteitsmanagementBeleid
    CLD_B.08.02Verantwoordelijkheid voor BCMDe verantwoordelijke voor bedrijfscontinuïteitsmanagement (BCM) stelt zeker dat adequate resources beschikbaar zijn voor het uitvoeren van een effectief BCM-proces.BedrijfscontinuïteitsmanagementBeleid
    CLD_B.08.03Verantwoordelijkheid voor BCMHet management van de Cloud Service Provider (CSP) committeert zich aan de vastgestelde bedrijfscontinuïteitsmanagement (BCM)-vereisten.BedrijfscontinuïteitsmanagementBeleid
    CLD_B.08.04Verantwoordelijkheid voor BCMHet bedrijfscontinuïteitsmanagement (BCM)-beleid en beleid voor business impact analyses zijn vastgesteld en gecommuniceerd.BedrijfscontinuïteitsmanagementBeleid
    CLD_B.08.05Beleid en proceduresHet beleid en de procedures voor het vaststellen van de impact van storingen van cloud-services zijn gedocumenteerd en gecommuniceerd, waarbij aandacht wordt besteed aan:
  • beschikbaarheid van data en functionaliteit in relatie tot vendor lock-in en transitie naar andere Cloud Service Providers (CSP's) of exit-strategie (voor de mogelijke op risicoanalyse gebaseerde scenario’s);
  • identificatie van kritische producten en services;
  • identificaties van afhankelijkheden, processen, en business partners en derde partijen;
  • consequenties van verstoringen;
  • schattingen van vereiste resources voor herstel.
  • BedrijfscontinuïteitsmanagementBeleid
    CLD_B.08.06BedrijfscontinuïteitsplanningDe Cloud Service Provider (CSP) beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit waarin onder andere aandacht wordt besteed aan:
  • definiëren van de scope waarbij rekening wordt gehouden met de afhankelijkheden;
  • toegankelijkheid van deze plannen voor verantwoordelijke functionarissen;
  • toewijzen van een verantwoordelijke voor de review, update en goedkeuring;
  • definiëren van communicatiekanalen;
  • herstelprocedures;
  • methode voor het implementeren van het bedrijfscontinuïteitsmanagement (BCM)-plan;
  • continu verbeteringsproces van het BCM-plan;
  • relaties met beveiligingsincidenten.
  • BedrijfscontinuïteitsmanagementBeleid
    CLD_B.08.07Verificatie en updatenBusiness impact analyses en continuïteitsplannen worden geverifieerd, geactualiseerd en regelmatig getest.BedrijfscontinuïteitsmanagementBeleid
    CLD_B.08.08Verificatie en updatenBij het testen wordt aandacht besteed aan de beïnvloeding van Cloud Service Consumers (CSC’s) (tenants) en derde partijen.BedrijfscontinuïteitsmanagementBeleid
    CLD_B.08.09ComputercentraDe voorzieningen van de computercentra zijn veilig gesteld en worden gemonitord (bewaakt), onderhouden en regelmatig getest.BedrijfscontinuïteitsmanagementBeleid
    CLD_B.09.01Beveiligingsaspecten en stadiaVoor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.Privacy en bescherming persoonsgegevens clouddienstenBeleid
    CLD_B.09.02Toegang en privacyTer bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, Data Privacy Impact Assessment (DPIA), sterke toegangsbeveiliging en encryptie.Privacy en bescherming persoonsgegevens clouddienstenBeleid
    CLD_B.09.03Classificatie/labelenAan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op het datatype, de waarde, de gevoeligheid en het kritische gehalte voor de organisatie.Privacy en bescherming persoonsgegevens clouddienstenBeleid
    CLD_B.09.04Classificatie/labelenData gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data.Privacy en bescherming persoonsgegevens clouddienstenBeleid
    CLD_B.09.05Classificatie/labelenDe Cloud Service Provider (CSP) past een uniforme classificatie toe voor informatie en middelen die relevant is voor de ontwikkeling en het aanbieden van clouddiensten.Privacy en bescherming persoonsgegevens clouddienstenBeleid
    CLD_B.09.06EigenaarschapHet eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld.Privacy en bescherming persoonsgegevens clouddienstenBeleid
    CLD_B.09.07EigenaarschapIn de overeenkomst tussen de Cloud Service Provider (CSP) en de Cloud Service Consumer (CSC) is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten.Privacy en bescherming persoonsgegevens clouddienstenBeleid
    CLD_B.09.08LocatieDe Cloud Service Provider (CSP) specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen.Privacy en bescherming persoonsgegevens clouddienstenBeleid
    CLD_B.10.01BeveiligingsfunctieDe beveiligingsfunctie, die geleid wordt door een Chief Security Officer (CSO), ondersteunt de Cloud Service Provider (CSP) voor het bewerkstelligen en promoten van het cloud-beveiligingsbeleid door het:
  • ontwikkelen en onderhouden van een beveiligingsstrategie en het -beleid;
  • ontwikkelen van beveiligingsstandaarden, procedures en richtlijnen;
  • definiëren van een set beveiligingsdiensten;
  • coördineren van beveiliging door de gehele organisatie;
  • monitoren van de effectiviteit van clouddienstreglementen;
  • bieden van overzicht van en het doen van onderzoeken naar beveiligingsdiensten.
  • Beveiligingsorganisatie clouddienstenBeleid
    CLD_B.10.02BeveiligingsfunctieDe beveiligingsfunctie voorziet in proactieve ondersteuning van:
  • activiteiten van cloud-risicoassessment;
  • classificeren van informatie en systemen;
  • gebruik van encryptie;
  • beveiligen van gerelateerde projecten;
  • ontwikkelen van bedrijfscontinuïteitsprogramma en beveiligingsaudits.
  • Beveiligingsorganisatie clouddienstenBeleid
    CLD_B.10.03Organisatorische positieDe Cloud Service Provider (CSP) heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegeven.Beveiligingsorganisatie clouddienstenBeleid
    CLD_B.10.04Taken, verantwoordelijkheden en bevoegdhedenDe Cloud Service Provider (CSP) heeft de verantwoordelijkheden bij informatiebeveiliging voor het definiëren, coördineren en evalueren beschreven en toegewezen aan specifieke functionarissen.Beveiligingsorganisatie clouddienstenBeleid
    CLD_B.10.05Taken, verantwoordelijkheden en bevoegdhedenDe taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix.Beveiligingsorganisatie clouddienstenBeleid
    CLD_B.10.06FunctionarissenDe belangrijkste functionarissen (stakeholders) voor informatiebeveiliging zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.Beveiligingsorganisatie clouddienstenBeleid
    CLD_B.10.07RapportagelijnenDe verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld.Beveiligingsorganisatie clouddienstenBeleid
    CLD_B.10.08RapportagelijnenHet type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.Beveiligingsorganisatie clouddienstenBeleid
    CLD_B.11.01RaamwerkHet raamwerk bevat de volgende aspecten:
  • beveiligingsbeleid van de Cloud Service Provider (CSP) met principes en wet- en regelgeving;
  • functioneel; typen en scope van de clouddiensten;
  • zoneringsmodel voor scheiding tussen Cloud service Consumers (CSC’s);
  • trust framework (afspraken en maatregelen ter bevordering van de vertrouwensrelatie);
  • Service Level Agreements (SLA’s) en valide certificaten;
  • risicomanagement.
  • ClouddienstenarchitectuurBeleid
    CLD_B.11.02Samenhang en afhankelijkhedenDe onderlinge samenhang tussen IT-functionaliteiten die bij het aanbieden, gebruiken en onderhouden van clouddiensten zijn betrokken, benoemd en beschreven.ClouddienstenarchitectuurBeleid
    CLD_C.01.01RichtlijnenDe Cloud Service Provider (CSP) beschikt voor clouddiensten over richtlijnen voor de inrichting van de service-managementorganisatie.Servicemanagementbeleid en evaluatierichtlijnControl
    CLD_C.01.02RichtlijnenDe Cloud Service Provider (CSP) heeft relevante beheerprocessen beschreven en effectief ingericht conform een vastgestelde cyclus, waaronder: registratie, statusmeting, monitoring, analyse, rapportage en evaluatie.Servicemanagementbeleid en evaluatierichtlijnControl
    CLD_C.01.03Controle-activiteiten en rapportagesDe Cloud Service Provider (CSP) beschikt voor clouddiensten over richtlijnen voor het:
  • uitvoeren van controle-activiteiten, waaronder penetratie- en kwetsbaarheidstesten;
  • evalueren van en rapporteren over de performance, conformance en leveringsprestaties.
  • Servicemanagementbeleid en evaluatierichtlijnControl
    CLD_C.02.01Gemonitord en gereviewdDe Cloud Service Provider (CSP) verifieert regelmatig de criteria die gebruikt worden om de risico’s te meten en om vast te stellen of ze steeds consistent zijn met de organisatiedoelstellingen, de strategie, het beleid en/of de context van de organisatie steeds in beschouwing worden genomen.Risico-controlControl
    CLD_C.02.02Gemonitord en gereviewdVastgestelde risico’s dienen in relatie met de factoren: waarde van de assets, dreigingen, zwakheden, kans op voorkomen en impact te worden gemonitord en geëvalueerd, om een compleet risicobeeld te behouden en tijdig veranderingen vast te (kunnen) stellen.Risico-controlControl
    CLD_C.02.03Gemonitord en gereviewdDe Cloud Service Provider (CSP) zal voor het monitoren van risico’s zich continu richten op:
  • nieuwe assets die deel behoren uit te maken van het toepassingsgebied van een risico-assessment;
  • veranderingen in de waarde van assets;
  • de mogelijkheid dat nieuwe of toegenomen zwakheden kunnen leiden tot dreigingen;
  • de mogelijkheid dat eerder vastgestelde zwakheden aan nieuwe dreigingen blootstaan;
  • toegenomen impact of consequenties van de beoordeelde risico’s en zwakheden resulterend in een onacceptabel risiconiveau;
  • informatiebeveiligingsincidenten.
  • Risico-controlControl
    CLD_C.02.04Gemonitord en gereviewdDe Cloud Service Provider (CSP) voert regelmatig de monitoringsactiviteiten uit en mitigeert de vastgestelde risico’s.Risico-controlControl
    CLD_C.02.05Gemonitord en gereviewdBij het monitoren en reviewen worden onder andere de volgende elementen geadresseerd:
  • wet- en regelgeving en organisatorische/technische context;
  • risico-assessmentaanpak;
  • waarde assets en categorieën;
  • risico-evaluatiecriteria;
  • risico-acceptatiecriteria.
  • Risico-controlControl
    CLD_C.03.01CompliancyVoor de governance van de clouddienstverlening aan de Cloud Service Consumer (CSC) heeft de Cloud Service Provider (CSP) een compliance-proces ingericht, waarmee continue compliance op wet- en regelgeving en het overeengekomen cloud-beveiligingsbeleid vorm wordt gegeven.Compliance en assuranceControl
    CLD_C.03.02CompliancyDe Cloud Service Provider (CSP) registreert de regulier uitgebrachte prestatie-, beveiligings- en compliance-rapportages in een administratie.Compliance en assuranceControl
    CLD_C.03.03CompliancyHet compliance-proces is bij voorkeur aangesloten op een informatiebeveiligingsmanagementsysteem.Compliance en assuranceControl
    CLD_C.03.04AssuranceDe Cloud Service Provider (CSP) laat jaarlijks door een derde partij een onderzoek (audit) uitvoeren op de inrichting en beheersing van de gecontracteerde clouddiensten.Compliance en assuranceControl
    CLD_C.03.05AssuranceBij de assessment wordt door de derde partij zowel de cloud-omgeving als de administratie betrokken.Compliance en assuranceControl
    CLD_C.03.06AansluitingDe Cloud Service Provider (CSP) zorgt ervoor dat de uitkomsten uit de jaarlijkse assurance- rapportage (Third Party Mededeling (TPM)), de uitkomsten van de periodieke servicerapportages en de uitkomsten uit de continue compliance op het cloud-beveiligingsbeleid op elkaar aansluiten.Compliance en assuranceControl
    CLD_C.04.01Technische kwetsbaarhedenDe Cloud Service Provider (CSP) stelt de Cloud Service Consumer (CSC) informatie beschikbaar over het beheer van de technische kwetsbaarheden die de clouddiensten kunnen beïnvloeden.Technische kwetsbaarhedenbeheer clouddienstenControl
    CLD_C.04.02Technische kwetsbaarhedenDe Cloud Service Provider (CSP) heeft de rollen en verantwoordelijkheden in relatie tot het beheersen van technische kwetsbaarheden, waaronder coördineren, monitoren, beoordelen van risico’s en mitigeren van kwetsbaarheden, gedefinieerd en vastgesteld.Technische kwetsbaarhedenbeheer clouddienstenControl
    CLD_C.04.03Technische kwetsbaarhedenAls de kans op misbruik en de verwachte schade beiden hoog zijn (NCSC (Nationaal Cyber Security Centrum) classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen.Technische kwetsbaarhedenbeheer clouddienstenControl
    CLD_C.04.04Technische kwetsbaarhedenHet tijdspad waarbinnen gereageerd moet worden op aankondigingen van potentieel relevante kwetsbaarheden is gedefinieerd.Technische kwetsbaarhedenbeheer clouddienstenControl
    CLD_C.04.05Technische kwetsbaarhedenPeriodiek worden penetratietests op ICT-componenten uitgevoerd om zwakheden te identificeren.Technische kwetsbaarhedenbeheer clouddienstenControl
    CLD_C.04.06Technische kwetsbaarhedenTechnische zwakheden kunnen worden verholpen door het tijdig uitvoeren van patchmanagement, wat inhoud:
  • het identificeren, registreren en verwerven van patches;
  • de besluitvorming rond het inzetten van patches;
  • het testen van patches;
  • het uitvoeren van patches;
  • het registreren van doorgevoerde patches.
  • Technische kwetsbaarhedenbeheer clouddienstenControl
    CLD_C.04.07GeëvalueerdEvaluaties van technische kwetsbaarheden worden geregistreerd en gerapporteerd.Technische kwetsbaarhedenbeheer clouddienstenControl
    CLD_C.04.08GeëvalueerdDe evaluatierapportages bevatten verbeteringsvoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van ICT-componenten waarin kwetsbaarheden en zwakheden gevonden zijn.Technische kwetsbaarhedenbeheer clouddienstenControl
    CLD_C.05.01Gemonitord en gerapporteerdRichtlijnen en afspraken voor het monitoren en rapporteren over informatiebeveiliging van de cloud-omgeving zijn vastgesteld en worden toegepast.Security-monitoringsrapportageControl
    CLD_C.05.02Gemonitord en gerapporteerdHet monitoren en rapporteren over de informatiebeveiliging zijn gerelateerd aan:
  • geformuleerde strategische- en bedrijfsdoelen;
  • risico’s die het bereiken van de strategische doelen kunnen beïnvloeden;
  • beveiligingsincidenten, zoals cybersecurity-aanvallen.
  • Security-monitoringsrapportageControl
    CLD_C.05.03Gemonitord en gerapporteerdHet monitoren van informatiebeveiliging en rapportages vindt plaats met:
  • het verzamelen van informatie uit interne en externe bronnen;
  • het inzicht door verzamelde informatie uit de combinatie van Key Performance Indicators (KPI’s) en Key Risk Indicators (KRI’s).
  • Security-monitoringsrapportageControl
    CLD_C.05.04Gemonitord en gerapporteerdInformatiebeveiligingsrapportages worden in samenhang met rapportages uit andere beheerdisciplines (compliance en assurance-management en vulnerability-management) geanalyseerd.Security-monitoringsrapportageControl
    CLD_C.05.05Gemonitord en gerapporteerdAantoonbaar wordt opvolging gegeven aan verbetervoorstellen uit analyserapportages.Security-monitoringsrapportageControl
    CLD_C.05.06Gemonitord en gerapporteerdDe beveiligingsplannen worden periodiek geactualiseerd en toegewezen aan de hiervoor verantwoordelijke functionarissen.Security-monitoringsrapportageControl
    CLD_C.06.01ProcesstructuurDe samenhang van processen wordt in een processtructuur vastgelegd.Beheersorganisatie clouddienstenControl
    CLD_C.06.02Taken, verantwoordelijkheden en bevoegdhedenDe Cloud Service Provider (CSP) heeft de taken en verantwoordelijkheden voor de uitvoering van de beheer(s)werkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix.Beheersorganisatie clouddienstenControl
    CLD_C.06.03FunctionarissenDe belangrijkste functionarissen (stakeholders) voor de beheersingsorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.Beheersorganisatie clouddienstenControl
    CLD_U.01.01Nationale standaardenDe Cloud Service Provider (CSP) maakt haar dienstverlening transparant, zodat de Cloud Service Consumer (CSC) aantoonbaar aan de voor haar verplichte BIO en Pas-toe-of-leg-uit standaarden kan voldoen.Standaarden voor clouddienstenUitvoering
    CLD_U.01.02Internationale standaardenDe Cloud Service Provider (CSP) treft beveiligingsmaatregelen gebaseerd op internationale standaarden, zoals:
  • BSI-Standard 200-4 Business Continuity Management
  • ITU-T FG Cloud TR 1.0 2012 Part 5 Cloud security
  • NEN-ISO/IEC 17788 Overview and vocabulary
  • NEN-ISO/IEC 17789 Reference architecture
  • NEN-ISO/IEC 19941 Interoperability and portability
  • NEN-ISO/IEC 19944 Cloud services and devices
  • NEN-ISO/IEC 27017 Code of practice for cloud services
  • NEN-ISO/IEC 27018 Personally identifiable information (PII) in public clouds
  • NIST SP 800-145 Definition of Cloud Computing
  • Standaarden voor clouddienstenUitvoering
    CLD_U.02.01Risico-analyseDe risico’s op de middelen die binnen de scope van clouddiensten ressorteren, worden geïdentificeerd, op waarde geschat (gekwantificeerd of gekwalificeerd) en beschreven met risico-evaluatiecriteria en -doelstellingen van de Cloud Service Provider (CSP).Risico-assessmentUitvoering
    CLD_U.02.02Risico-evaluatieDe geïdentificeerde risico’s worden geëvalueerd met risico-acceptatiecriteria.Risico-assessmentUitvoering
    CLD_U.03.01RedundantieDe overeengekomen continuïteit wordt gewaarborgd door voldoende logisch of fysiek meervoudig uitgevoerde systeemfuncties.BedrijfscontinuïteitsservicesUitvoering
    CLD_U.03.02ContinuïteitseisenDe met de Cloud Service Consumer (CSC)-organisatie overeengekomen continuïteitseisen voor cloud-services wordt gewaarborgd door specifieke in de systeemarchitectuur beschreven maatregelen.BedrijfscontinuïteitsservicesUitvoering
    CLD_U.04.01HerstelfunctieDe data en clouddiensten worden in het geval van calamiteiten binnen de overeengekomen periode en maximale dataverlies hersteld en aan de Cloud Service Consumer (CSC) beschikbaar gesteld.Herstelfunctie voor data en clouddienstenUitvoering
    CLD_U.04.02HerstelfunctieHet continue proces van herstelbaar beveiligen van data wordt gemonitord.Herstelfunctie voor data en clouddienstenUitvoering
    CLD_U.04.03GetestHet toereikend functioneren van herstelfuncties wordt periodiek getest door gekwalificeerd personeel en de resultaten daarvan worden gedeeld met de Cloud Service Consumer (CSC).Herstelfunctie voor data en clouddienstenUitvoering
    CLD_U.05.01Cryptografische maatregelenGegevenstransport wordt naar de laatste stand der techniek beveiligd met cryptografie (conform Forum Standaardisatie), waarbij het sleutelbeheer zo mogelijk door de Cloud Service Consumer (CSC) zelf wordt uitgevoerd.DataprotectieUitvoering
    CLD_U.05.02Cryptografische maatregelenOpgeslagen gegevens in de clouddienst worden naar de laatste stand der techniek beveiligd met encryptie en met een tenminste voor het doel toereikende sleutellengte, waarbij het sleutelbeheer zo mogelijk niet als clouddienst wordt afgenomen en door de Cloud Service Consumer (CSC) zelf wordt uitgevoerd.DataprotectieUitvoering
    CLD_U.06.01BewaartermijnDe gegarandeerde en met de Cloud Service Provider (CSP) overeengekomen opslagduur is contractueel vastgelegd en voldoet aan de Archiefwet.Dataretentie en gegevensvernietigingUitvoering
    CLD_U.06.02Technologie-onafhankelijk, raadpleegbaarGegevens zijn onafhankelijk van de door de Cloud Service Provider (CSP) toegepaste technologie raadpleegbaar tijdens de gehele bewaartermijn.Dataretentie en gegevensvernietigingUitvoering
    CLD_U.06.03OnveranderbaarGegevens worden zo mogelijk gearchiveerd met Write Once Read Many (WORM)-technologie, waarmee de integriteit van de data wordt gegarandeerd.Dataretentie en gegevensvernietigingUitvoering
    CLD_U.06.04VernietigdVoorafgaand aan het voor onderhoudsdoeleinden wijzigen van opslagmedia, wordt de data van de Cloud Service Consumer (CSC), inclusief de back-up van gegevens en metadata veilig gewist of vernietigd.Dataretentie en gegevensvernietigingUitvoering
    CLD_U.06.05VernietigdBij het beëindigen van de contractrelatie wordt de data van de Cloud Service Consumer (CSC), inclusief de back-up van gegevens en de metadata veilig gewist, om te voorkomen dat de CSC-gegevens naderhand door de Cloud Service Provider (CSP) kunnen worden hersteld, bijvoorbeeld met forensische hulpmiddelen.Dataretentie en gegevensvernietigingUitvoering
    CLD_U.07.01GeïsoleerdPermanente isolatie van gegevens wordt gerealiseerd binnen een multi-tenantarchitectuur. Patches en aanpassingen van applicaties en infrastructuur worden op een gecontroleerde wijze gerealiseerd voor alle clouddiensten die de Cloud Service Consumer (CSC) afneemt.DatascheidingUitvoering
    CLD_U.07.02GeïsoleerdIsolatie van Cloud Service Consumer (CSC)-gegevens wordt gegarandeerd door deze onder alle bedrijfsomstandigheden minimaal logisch te scheiden van de data van andere CSC’s.DatascheidingUitvoering
    CLD_U.07.03BeheerfunctiesDe bevoegdheden voor het inzien of wijzigen van Cloud Service Consumer (CSC)-data en/of van encryptiesleutels door beheerfuncties en beheerders worden gecontroleerd verleend en het gebruik van deze rechten wordt gelogd.DatascheidingUitvoering
    CLD_U.08.01GescheidenDe Cloud Service Provider (CSP) realiseert de volgende scheiding van clouddienstverlening:
  • onderlinge scheiding van de Cloud Service Consumers (CSC’s) in een multi-tenant-omgeving;
  • scheiding tussen de afgenomen cloud-service en de interne informatievoorziening van de CSP;
  • de CSP maakt het mogelijk om de beoogde scheiding van clouddiensten te verifiëren.
  • Scheiding dienstverleningUitvoering
    CLD_U.09.01BeheersmaatregelenDe Cloud Service Provider (CSP) specificeert, als onderdeel van de overeenkomst, welke maatregelen (voor onder andere malwareprotectie) op welke positie in de informatieketen van de Cloud Service Consumer (CSC) en CSP moeten worden genomen.Malwareprotectie clouddienstenUitvoering
    CLD_U.09.02BeheersmaatregelenDe Cloud Service Provider (CSP) heeft de voor ontwikkeling en exploitatie van clouddiensten gebruikte IT-systemen en netwerkperimeters waarvoor zij verantwoordelijk is, uitgerust met tools ter bescherming en verwijdering van malware.Malwareprotectie clouddienstenUitvoering
    CLD_U.09.03Detectie, preventie en herstelDe malwareprotectie wordt op verschillende omgevingen uitgevoerd, zoals op mailservers, (desktop)computers en bij de toegang tot het netwerk van de organisatie. De scan op malware omvat onder andere:
  • alle bestanden die via netwerken of via elke vorm van opslagmedium zijn ontvangen, nog voor het gebruik;
  • alle bijlagen en downloads nog voor het gebruik;
  • virtuele machines;
  • netwerkverkeer.
  • Malwareprotectie clouddienstenUitvoering
    CLD_U.10.01GebruikersDe Cloud Service Provider (CSP) biedt de Cloud Service Consumer (CSC) uitsluitend toegang tot services, IT-diensten en data waarvoor zij specifiek bevoegd is, waarbij:
  • Technische maatregelen voorkomen dat gebruikers en beheerders toegang hebben tot services, IT-diensten en data buiten datgene wat formeel is toegestaan.
  • Gebruikers met nood-toegangsrechten (tijdens calamiteiten, wanneer acties niet door bevoegde beheerders kunnen worden uitgevoerd) zijn gedocumenteerd door het management geaccordeerd en wordt uitgevoerd met functiescheiding. Noodtoegang is geactiveerd zolang als nodig is voor de corresponderende taak/taken.
  • Toegang IT-diensten en dataUitvoering
    CLD_U.10.02GebruikersOnder verantwoordelijkheid van de Cloud Service Provider (CSP) wordt aan beheerders toegang verleend:
  • tot data met het least privilege-principe;
  • tot data met het need-to-know principe;
  • met multi-factorauthenticatie;
  • verleend tot data en applicatieve functies via technische maatregelen.
  • Toegang IT-diensten en dataUitvoering
    CLD_U.10.03GebruikersAlleen gebruikers met geauthentiseerde apparatuur kunnen toegang krijgen tot IT-diensten en data.Toegang IT-diensten en dataUitvoering
    CLD_U.10.04BevoegdOnder de verantwoordelijkheid van de Cloud Service Provider (CSP) worden bevoegdheden (systeemautorisaties) voor gebruikers toegekend via formele procedures.Toegang IT-diensten en dataUitvoering
    CLD_U.10.05BevoegdToegang tot IT-diensten en data is beperkt door technische maatregelen en is geïmplementeerd, bijvoorbeeld met het rollen- en rechtenconcept.Toegang IT-diensten en dataUitvoering
    CLD_U.11.01BeleidIn het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
  • wanneer cryptografie ingezet wordt;
  • wie verantwoordelijk is voor de implementatie van cryptologie;
  • wie verantwoordelijk is voor het sleutelbeheer;
  • welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast;
  • de wijze waarop het beschermingsniveau vastgesteld wordt;
  • bij communicatie tussen organisaties wordt het beleid onderling vastgesteld.
  • CryptoservicesUitvoering
    CLD_U.11.02Cryptografische maatregelenIn geval van PKIoverheid-certificaten: hanteer de PKIoverheid-eisen ten aanzien van het sleutelbeheer. In overige situaties: hanteer de standaard ISO 11770 voor het beheer van cryptografische sleutels.CryptoservicesUitvoering
    CLD_U.11.03VersleuteldGevoelige data (op transport en in rust) is altijd versleuteld, waarbij private sleutels in beheer zijn bij de Cloud Service Consumer (CSC). Het gebruik van een private sleutel door de Cloud Service Provider (CSP) is gebaseerd op een gecontroleerde procedure en moet gezamenlijk worden overeengekomen met de CSC-organisatie.CryptoservicesUitvoering
    CLD_U.12.01NetwerkconnectiesIn koppelpunten met externe of onvertrouwde zones zijn maatregelen getroffen om mogelijke aanvallen die de beschikbaarheid van de informatievoorziening negatief beïnvloeden (bijvoorbeeld Distributed Denial of Service attacks (DDos)-aanvallen) te signaleren en hierop te reageren.KoppelvlakkenUitvoering
    CLD_U.12.02NetwerkconnectiesFysieke en gevirtualiseerde netwerkcomponenten zijn zodanig ontworpen en geconfigureerd dat netwerkconnecties tussen vertrouwde en onvertrouwde netwerken worden beperkt en gemonitord (bewaakt).KoppelvlakkenUitvoering
    CLD_U.12.03NetwerkconnectiesBeheeractiviteiten van de Cloud Service Provider (CSP) zijn strikt gescheiden van de data van de Cloud Service Consumer (CSC).KoppelvlakkenUitvoering
    CLD_U.12.04NetwerkconnectiesDataverkeer voor Cloud Service Consumers (CSC’s) zijn in gezamenlijk gebruikte netwerkomgevingen gescheiden volgens een gedocumenteerd concept voor de op netwerkniveau (logische) segmentatie van CSC’s, om zo de integriteit en vertrouwelijkheid van de verzonden gegevens te garanderen.KoppelvlakkenUitvoering
    CLD_U.12.05BewaaktHet dataverkeer dat de Cloud Service Provider (CSP) binnenkomt of uitgaat, wordt in relatie tot de aard van de te beschermen gegevens/informatiesystemen bewaakt en geanalyseerd op kwaadaardige elementen middels detectievoorzieningen.KoppelvlakkenUitvoering
    CLD_U.12.06BewaaktDe Cloud Service Provider (CSP) heeft Intrusion Detection Prevention (IDP) en Intrusion Detection System (IDS) geïntegreerd in een allesomvattend Security Information and Event Management (SIEM), zodat beveiligingsgebeurtenissen en onbekende apparatuur vanuit de benodigde technische maatregelen worden opgemerkt en correctieve maatregelen kunnen worden genomen.KoppelvlakkenUitvoering
    CLD_U.12.07BeheerstBij ontdekte nieuwe dreigingen worden deze, rekening houdend met geldende juridische kaders, verplicht gedeeld binnen de overheid, waaronder met het Nationaal Cyber Security Centrum (NCSC) (alleen voor rijksoverheidsorganisaties) of de sectorale Computer Emergency Response Team (CERT), bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing).KoppelvlakkenUitvoering
    CLD_U.13.01CoördinatieCloud-orkestratietechnologie functioneert met heterogene systemen en mogelijk wereldwijde cloud-implementatie (op verschillende geografische locaties en met verschillende Cloud Service Providers (CSP’s)).Service-orkestratieUitvoering
    CLD_U.13.02ServicecomponentenDe functionele samenhang van de servicecomponenten is beschreven.Service-orkestratieUitvoering
    CLD_U.13.03ServicecomponentenVoor orkestratie van cloud-services is de volgende informatie benodigd:
  • de Cloud Service Consumer (CSC)-identiteit;
  • de bedrijfsrelatie van de CSC binnen het cloud-netwerk;
  • het IP-adres van de CSC.
  • Service-orkestratieUitvoering
    CLD_U.14.01InteroperabiliteitOm de interoperabiliteit van cloud-services te garanderen, zijn gegevens beschikbaar conform erkende industrie-standaarden en gedocumenteerde invoer- en uitvoerinterfaces.Interoperabiliteit en portabiliteitUitvoering
    CLD_U.14.02PortabiliteitOm de portabiliteit van de data te garanderen, maakt de CSP gebruik van beveiligde netwerkprotocollen voor de import en export van data waarmee de integriteit en vertrouwelijkheid wordt gegarandeerd.Interoperabiliteit en portabiliteitUitvoering
    CLD_U.15.01Gebeurtenissen geregistreerdHet overtreden van de beleidsregels wordt door de Cloud Service Provider (CSP) en de Cloud Service Consumer (CSC) vastgelegd.Logging en monitoring clouddienstenUitvoering
    CLD_U.15.02Gebeurtenissen geregistreerdDe Security Information and Event Management (SIEM) en/of Security Operation Centre (SOC) hebben heldere regels over wanneer een incident moet worden gerapporteerd aan het verantwoordelijk management.Logging en monitoring clouddienstenUitvoering
    CLD_U.15.03Gebeurtenissen geregistreerdDe Cloud Service Provider (CSP) hanteert een lijst van alle activa die kritisch zijn in termen van logging en monitoring en beoordeelt deze lijst regelmatig op correctheid.Logging en monitoring clouddienstenUitvoering
    CLD_U.15.04Gebeurtenissen geregistreerdAan logboeken en bewaking worden strenge eisen gesteld. Voor de kritieke componenten zijn geavanceerde beveiligingen voor logboeken en bewaking gedefinieerd.Logging en monitoring clouddienstenUitvoering
    CLD_U.15.05Gebeurtenissen geregistreerdDe toegang tot en het beheer van de loggings- en monitoringsfunctionaliteit is beperkt tot geselecteerde en geautoriseerde medewerkers van de Cloud Service Provider (CSP).Logging en monitoring clouddienstenUitvoering
    CLD_U.15.06Gebeurtenissen geregistreerdWijzigingen in logging en monitoring worden gecontroleerd door onafhankelijke en geautoriseerde medewerkers. (Logregels mogen nooit worden gewijzigd; deze zijn immers bedoeld om als bewijslast te kunnen gebruiken.)Logging en monitoring clouddienstenUitvoering
    CLD_U.16.01SamenhangDe architectuur specificeert ten minste het volgende:
  • IT-services in relatie met functionaliteit voor bedrijfsprocessen;
  • het vertrouwensniveau van de beveiliging van de clouddiensten;
  • de beschrijving van de infrastructuur, netwerk- en systeemcomponenten die worden gebruikt voor de ontwikkeling en de werking van de cloud-service(s);
  • rollen en verantwoordelijkheden van de CSP en de CSC, inclusief de plichten om samen te werken en de bijbehorende controles bij de CSC;
  • IT-functies die door de CSP zijn toegewezen of uitbesteed aan onderaannemers.
  • ClouddienstenarchitectuurUitvoering
    CLD_U.17.01VersleuteldCloud Service Consumer (CSC)-data op transport en in rust is versleuteld.Multi-tenantarchitectuurUitvoering
    CLD_U.17.02GescheidenVirtuele machine platforms voor Cloud Service Consumers (CSC’s) met speciale/verhoogde beveiligingsvereisten zijn gescheiden ingericht.Multi-tenantarchitectuurUitvoering
    CLD_U.17.03GehardendeVirtuele machine platforms zijn gehardend.Multi-tenantarchitectuurUitvoering