ISOR/normen tabel
Naar navigatie springen
Naar zoeken springen
ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.
In deze tabel staan alle normen uit BIO Thema-uitwerking Clouddiensten, met het unieke ID, de
conformiteitsindicator uit het principe dat het uitwerkt en de daadwerkelijke norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv download
en in uitgebreide versie met alle bestaande eigenschappen.
ID | Conformiteitsindicator | Stelling | Realiseert bovenliggend principe | Beveiligingsaspect |
---|---|---|---|---|
CLD_B.01.01 | Wettelijke, statutaire en regelgevende eisen | De Cloud Service Provider (CSP) informeert de Cloud Service Consumer (CSC) welke wet- en regelgeving van toepassing is op clouddiensten. | Wet- en regelgeving Clouddiensten | Beleid |
CLD_B.01.02 | Wettelijke, statutaire en regelgevende eisen | De Cloud Service Provider (CSP) identificeert haar eigen relevante wettelijke eisen (zoals Algemene Verordening Gegevensbescherming (AVG)-eisen en encryptietoepassing) om persoonsgegevens te kunnen beschermen. | Wet- en regelgeving Clouddiensten | Beleid |
CLD_B.01.03 | Wettelijke, statutaire en regelgevende eisen | De voor de Cloud Service Consumer (CSC) van toepassing zijnde vereisten die voortvloeien uit wet- en regelgeving zijn geïdentificeerd, vooral waar het gaat om geografische gedistribueerde verwerkingen, opslag en communicatie waarvoor verschillende wetgeving bestaat, zoals maatregelen die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG). | Wet- en regelgeving Clouddiensten | Beleid |
CLD_B.01.04 | Wettelijke, statutaire en regelgevende eisen | De Cloud Service Provider (CSP) voorziet de Cloud Service Consumer (CSC) van zekerheid (op bewijs gebaseerde compliancy-rapportage) over (het voldoen aan) de van toepassing zijnde wettelijke eisen en contractuele vereisten. | Wet- en regelgeving Clouddiensten | Beleid |
CLD_B.01.05 | Contractuele eisen | Voor clouddiensten zijn, om aan de wettelijke en contractuele eisen te kunnen voldoen, specifieke maatregelen getroffen en verantwoordelijkheden benoemd. | Wet- en regelgeving Clouddiensten | Beleid |
CLD_B.01.06 | Aanpak | De Cloud Service Provider (CSP) heeft, om aan de eisen van de Cloud Service Consumer (CSC) te kunnen voldoen, alle wet- en regelgeving die op haar van toepassing is op de clouddienstverlening vastgesteld. | Wet- en regelgeving Clouddiensten | Beleid |
CLD_B.02.01 | Cloudbeveiligingsstrategie | De cloudbeveiligingsstrategie van de Cloud Service Provider (CSP) geeft aan op welke wijze zij de bedrijfsdoelstellingen van Cloud Service Consumer (CSC)(’s) ondersteunt door onder andere te beschrijven:
| Cloudbeveiligingsstrategie | Beleid |
CLD_B.02.02 | Cloudbeveiligingsstrategie | De cloudbeveiligingsstrategie van de Cloud Service Provider (CSP):
| Cloudbeveiligingsstrategie | Beleid |
CLD_B.02.03 | Samenhangt | De samenhang van beveiligingsmaatregelen van de Cloud Service Provider (CSP) ondersteunt het behalen van de bedrijfsdoelen van de Cloud Service Consumer (CSC). Hierin wordt aangegeven:
| Cloudbeveiligingsstrategie | Beleid |
CLD_B.03.01 | Bepalingen | De Cloud Service Consumer (CSC) legt in de overeenkomst een aantal bepalingen over de exit-regeling vast, zoals:
| Exit-strategie clouddiensten | Beleid |
CLD_B.03.02 | Condities | De Cloud Service Consumer (CSC) kan buiten het verstrijken van de contractperiode besluiten over te gaan tot exit als sprake is van aspecten die gerelateerd zijn aan:
| Exit-strategie clouddiensten | Beleid |
CLD_B.04.01 | Cloud-beveiligingsbeleid | Het cloud-beveiligingsbeleid bevat:
| Clouddienstenbeleid | Beleid |
CLD_B.05.01 | Systeembeschrijving | De systeembeschrijving bevat de volgende aspecten:
| Transparantie | Beleid |
CLD_B.05.02 | Jurisdictie | De Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie van jurisdictie over dataopslag, verwerking en back-up-locatie, ook als deze (of delen hiervan) uitbesteed is aan subcontractors. | Transparantie | Beleid |
CLD_B.05.03 | Onderzoeksmogelijkheden | De Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie voor publicatievereisten en onderzoeksmogelijkheden. | Transparantie | Beleid |
CLD_B.05.04 | Certificaten | De Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie over het beschikbaar zijn van valide certificaten. | Transparantie | Beleid |
CLD_B.06.01 | Verantwoordelijkheden | De verantwoordelijkheden van de Cloud Service Provider (CSP) zijn onder andere het:
| Risicomanagement | Beleid |
CLD_B.06.02 | Verantwoordelijkheden | De organisatie van het risicomanagementproces is goedgekeurd door managers van de Cloud Service Provider (CSP). | Risicomanagement | Beleid |
CLD_B.06.03 | Risicomanagementproces | Het risicomanagementproces is systematisch beschreven met aandacht voor beleid, procedures en richtlijnen voor activiteiten over communiceren, adviseren, vaststellen van de context van onderzoeken, behandelen, monitoren, reviewen, vastleggen en rapporteren van risico’s. | Risicomanagement | Beleid |
CLD_B.07.01 | IT-functionaliteiten | Voor de beveiliging van IT-functionaliteiten (verwerking, opslag, transport en opvraag van informatie) zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen. | IT-functionaliteit | Beleid |
CLD_B.07.02 | IT-functionaliteiten | Technische beveiligingsmaatregelen in de vorm van sterke toegangsbeveiliging, encryptie en data-analysemethoden zijn getroffen tegen bescherming van de infrastructuur. | IT-functionaliteit | Beleid |
CLD_B.07.03 | IT-functionaliteiten | De IT-infrastructuur wordt, om veilige clouddiensten te kunnen verlenen, continue bewaakt en beheerst ter bescherming tegen bedreigingen. | IT-functionaliteit | Beleid |
CLD_B.07.04 | Robuuste en beveiligde systeemketen | De infrastructuur wordt ingericht met betrouwbare hardware- en softwarecomponenten. | IT-functionaliteit | Beleid |
CLD_B.07.05 | Robuuste en beveiligde systeemketen | Er zijn gedocumenteerde standaarden en procedures om geavanceerde cyberaanvallen het hoofd te bieden. | IT-functionaliteit | Beleid |
CLD_B.08.01 | Verantwoordelijkheid voor BCM | De Cloud Service Provider (CSP) heeft een proceseigenaar voor het Bedrijfscontinuïteitsmanagement (BCM)-proces benoemd en hem verantwoordelijk gegeven voor het vormgeven van BCM en compliancy met het uitgestippeld beleid. | Bedrijfscontinuïteitsmanagement | Beleid |
CLD_B.08.02 | Verantwoordelijkheid voor BCM | De verantwoordelijke voor bedrijfscontinuïteitsmanagement (BCM) stelt zeker dat adequate resources beschikbaar zijn voor het uitvoeren van een effectief BCM-proces. | Bedrijfscontinuïteitsmanagement | Beleid |
CLD_B.08.03 | Verantwoordelijkheid voor BCM | Het management van de Cloud Service Provider (CSP) committeert zich aan de vastgestelde bedrijfscontinuïteitsmanagement (BCM)-vereisten. | Bedrijfscontinuïteitsmanagement | Beleid |
CLD_B.08.04 | Verantwoordelijkheid voor BCM | Het bedrijfscontinuïteitsmanagement (BCM)-beleid en beleid voor business impact analyses zijn vastgesteld en gecommuniceerd. | Bedrijfscontinuïteitsmanagement | Beleid |
CLD_B.08.05 | Beleid en procedures | Het beleid en de procedures voor het vaststellen van de impact van storingen van cloud-services zijn gedocumenteerd en gecommuniceerd, waarbij aandacht wordt besteed aan:
| Bedrijfscontinuïteitsmanagement | Beleid |
CLD_B.08.06 | Bedrijfscontinuïteitsplanning | De Cloud Service Provider (CSP) beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit waarin onder andere aandacht wordt besteed aan:
| Bedrijfscontinuïteitsmanagement | Beleid |
CLD_B.08.07 | Verificatie en updaten | Business impact analyses en continuïteitsplannen worden geverifieerd, geactualiseerd en regelmatig getest. | Bedrijfscontinuïteitsmanagement | Beleid |
CLD_B.08.08 | Verificatie en updaten | Bij het testen wordt aandacht besteed aan de beïnvloeding van Cloud Service Consumers (CSC’s) (tenants) en derde partijen. | Bedrijfscontinuïteitsmanagement | Beleid |
CLD_B.08.09 | Computercentra | De voorzieningen van de computercentra zijn veilig gesteld en worden gemonitord (bewaakt), onderhouden en regelmatig getest. | Bedrijfscontinuïteitsmanagement | Beleid |
CLD_B.09.01 | Beveiligingsaspecten en stadia | Voor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen. | Privacy en bescherming persoonsgegevens clouddiensten | Beleid |
CLD_B.09.02 | Toegang en privacy | Ter bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, Data Privacy Impact Assessment (DPIA), sterke toegangsbeveiliging en encryptie. | Privacy en bescherming persoonsgegevens clouddiensten | Beleid |
CLD_B.09.03 | Classificatie/labelen | Aan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op het datatype, de waarde, de gevoeligheid en het kritische gehalte voor de organisatie. | Privacy en bescherming persoonsgegevens clouddiensten | Beleid |
CLD_B.09.04 | Classificatie/labelen | Data gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data. | Privacy en bescherming persoonsgegevens clouddiensten | Beleid |
CLD_B.09.05 | Classificatie/labelen | De Cloud Service Provider (CSP) past een uniforme classificatie toe voor informatie en middelen die relevant is voor de ontwikkeling en het aanbieden van clouddiensten. | Privacy en bescherming persoonsgegevens clouddiensten | Beleid |
CLD_B.09.06 | Eigenaarschap | Het eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld. | Privacy en bescherming persoonsgegevens clouddiensten | Beleid |
CLD_B.09.07 | Eigenaarschap | In de overeenkomst tussen de Cloud Service Provider (CSP) en de Cloud Service Consumer (CSC) is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten. | Privacy en bescherming persoonsgegevens clouddiensten | Beleid |
CLD_B.09.08 | Locatie | De Cloud Service Provider (CSP) specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen. | Privacy en bescherming persoonsgegevens clouddiensten | Beleid |
CLD_B.10.01 | Beveiligingsfunctie | De beveiligingsfunctie, die geleid wordt door een Chief Security Officer (CSO), ondersteunt de Cloud Service Provider (CSP) voor het bewerkstelligen en promoten van het cloud-beveiligingsbeleid door het:
| Beveiligingsorganisatie clouddiensten | Beleid |
CLD_B.10.02 | Beveiligingsfunctie | De beveiligingsfunctie voorziet in proactieve ondersteuning van:
| Beveiligingsorganisatie clouddiensten | Beleid |
CLD_B.10.03 | Organisatorische positie | De Cloud Service Provider (CSP) heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegeven. | Beveiligingsorganisatie clouddiensten | Beleid |
CLD_B.10.04 | Taken, verantwoordelijkheden en bevoegdheden | De Cloud Service Provider (CSP) heeft de verantwoordelijkheden bij informatiebeveiliging voor het definiëren, coördineren en evalueren beschreven en toegewezen aan specifieke functionarissen. | Beveiligingsorganisatie clouddiensten | Beleid |
CLD_B.10.05 | Taken, verantwoordelijkheden en bevoegdheden | De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix. | Beveiligingsorganisatie clouddiensten | Beleid |
CLD_B.10.06 | Functionarissen | De belangrijkste functionarissen (stakeholders) voor informatiebeveiliging zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt. | Beveiligingsorganisatie clouddiensten | Beleid |
CLD_B.10.07 | Rapportagelijnen | De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld. | Beveiligingsorganisatie clouddiensten | Beleid |
CLD_B.10.08 | Rapportagelijnen | Het type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld. | Beveiligingsorganisatie clouddiensten | Beleid |
CLD_B.11.01 | Raamwerk | Het raamwerk bevat de volgende aspecten:
| Clouddienstenarchitectuur | Beleid |
CLD_B.11.02 | Samenhang en afhankelijkheden | De onderlinge samenhang tussen IT-functionaliteiten die bij het aanbieden, gebruiken en onderhouden van clouddiensten zijn betrokken, benoemd en beschreven. | Clouddienstenarchitectuur | Beleid |
CLD_C.01.01 | Richtlijnen | De Cloud Service Provider (CSP) beschikt voor clouddiensten over richtlijnen voor de inrichting van de service-managementorganisatie. | Servicemanagementbeleid en evaluatierichtlijn | Control |
CLD_C.01.02 | Richtlijnen | De Cloud Service Provider (CSP) heeft relevante beheerprocessen beschreven en effectief ingericht conform een vastgestelde cyclus, waaronder: registratie, statusmeting, monitoring, analyse, rapportage en evaluatie. | Servicemanagementbeleid en evaluatierichtlijn | Control |
CLD_C.01.03 | Controle-activiteiten en rapportages | De Cloud Service Provider (CSP) beschikt voor clouddiensten over richtlijnen voor het:
| Servicemanagementbeleid en evaluatierichtlijn | Control |
CLD_C.02.01 | Gemonitord en gereviewd | De Cloud Service Provider (CSP) verifieert regelmatig de criteria die gebruikt worden om de risico’s te meten en om vast te stellen of ze steeds consistent zijn met de organisatiedoelstellingen, de strategie, het beleid en/of de context van de organisatie steeds in beschouwing worden genomen. | Risico-control | Control |
CLD_C.02.02 | Gemonitord en gereviewd | Vastgestelde risico’s dienen in relatie met de factoren: waarde van de assets, dreigingen, zwakheden, kans op voorkomen en impact te worden gemonitord en geëvalueerd, om een compleet risicobeeld te behouden en tijdig veranderingen vast te (kunnen) stellen. | Risico-control | Control |
CLD_C.02.03 | Gemonitord en gereviewd | De Cloud Service Provider (CSP) zal voor het monitoren van risico’s zich continu richten op:
| Risico-control | Control |
CLD_C.02.04 | Gemonitord en gereviewd | De Cloud Service Provider (CSP) voert regelmatig de monitoringsactiviteiten uit en mitigeert de vastgestelde risico’s. | Risico-control | Control |
CLD_C.02.05 | Gemonitord en gereviewd | Bij het monitoren en reviewen worden onder andere de volgende elementen geadresseerd:
| Risico-control | Control |
CLD_C.03.01 | Compliancy | Voor de governance van de clouddienstverlening aan de Cloud Service Consumer (CSC) heeft de Cloud Service Provider (CSP) een compliance-proces ingericht, waarmee continue compliance op wet- en regelgeving en het overeengekomen cloud-beveiligingsbeleid vorm wordt gegeven. | Compliance en assurance | Control |
CLD_C.03.02 | Compliancy | De Cloud Service Provider (CSP) registreert de regulier uitgebrachte prestatie-, beveiligings- en compliance-rapportages in een administratie. | Compliance en assurance | Control |
CLD_C.03.03 | Compliancy | Het compliance-proces is bij voorkeur aangesloten op een informatiebeveiligingsmanagementsysteem. | Compliance en assurance | Control |
CLD_C.03.04 | Assurance | De Cloud Service Provider (CSP) laat jaarlijks door een derde partij een onderzoek (audit) uitvoeren op de inrichting en beheersing van de gecontracteerde clouddiensten. | Compliance en assurance | Control |
CLD_C.03.05 | Assurance | Bij de assessment wordt door de derde partij zowel de cloud-omgeving als de administratie betrokken. | Compliance en assurance | Control |
CLD_C.03.06 | Aansluiting | De Cloud Service Provider (CSP) zorgt ervoor dat de uitkomsten uit de jaarlijkse assurance- rapportage (Third Party Mededeling (TPM)), de uitkomsten van de periodieke servicerapportages en de uitkomsten uit de continue compliance op het cloud-beveiligingsbeleid op elkaar aansluiten. | Compliance en assurance | Control |
CLD_C.04.01 | Technische kwetsbaarheden | De Cloud Service Provider (CSP) stelt de Cloud Service Consumer (CSC) informatie beschikbaar over het beheer van de technische kwetsbaarheden die de clouddiensten kunnen beïnvloeden. | Technische kwetsbaarhedenbeheer clouddiensten | Control |
CLD_C.04.02 | Technische kwetsbaarheden | De Cloud Service Provider (CSP) heeft de rollen en verantwoordelijkheden in relatie tot het beheersen van technische kwetsbaarheden, waaronder coördineren, monitoren, beoordelen van risico’s en mitigeren van kwetsbaarheden, gedefinieerd en vastgesteld. | Technische kwetsbaarhedenbeheer clouddiensten | Control |
CLD_C.04.03 | Technische kwetsbaarheden | Als de kans op misbruik en de verwachte schade beiden hoog zijn (NCSC (Nationaal Cyber Security Centrum) classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen. | Technische kwetsbaarhedenbeheer clouddiensten | Control |
CLD_C.04.04 | Technische kwetsbaarheden | Het tijdspad waarbinnen gereageerd moet worden op aankondigingen van potentieel relevante kwetsbaarheden is gedefinieerd. | Technische kwetsbaarhedenbeheer clouddiensten | Control |
CLD_C.04.05 | Technische kwetsbaarheden | Periodiek worden penetratietests op ICT-componenten uitgevoerd om zwakheden te identificeren. | Technische kwetsbaarhedenbeheer clouddiensten | Control |
CLD_C.04.06 | Technische kwetsbaarheden | Technische zwakheden kunnen worden verholpen door het tijdig uitvoeren van patchmanagement, wat inhoud:
| Technische kwetsbaarhedenbeheer clouddiensten | Control |
CLD_C.04.07 | Geëvalueerd | Evaluaties van technische kwetsbaarheden worden geregistreerd en gerapporteerd. | Technische kwetsbaarhedenbeheer clouddiensten | Control |
CLD_C.04.08 | Geëvalueerd | De evaluatierapportages bevatten verbeteringsvoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van ICT-componenten waarin kwetsbaarheden en zwakheden gevonden zijn. | Technische kwetsbaarhedenbeheer clouddiensten | Control |
CLD_C.05.01 | Gemonitord en gerapporteerd | Richtlijnen en afspraken voor het monitoren en rapporteren over informatiebeveiliging van de cloud-omgeving zijn vastgesteld en worden toegepast. | Security-monitoringsrapportage | Control |
CLD_C.05.02 | Gemonitord en gerapporteerd | Het monitoren en rapporteren over de informatiebeveiliging zijn gerelateerd aan:
| Security-monitoringsrapportage | Control |
CLD_C.05.03 | Gemonitord en gerapporteerd | Het monitoren van informatiebeveiliging en rapportages vindt plaats met:
| Security-monitoringsrapportage | Control |
CLD_C.05.04 | Gemonitord en gerapporteerd | Informatiebeveiligingsrapportages worden in samenhang met rapportages uit andere beheerdisciplines (compliance en assurance-management en vulnerability-management) geanalyseerd. | Security-monitoringsrapportage | Control |
CLD_C.05.05 | Gemonitord en gerapporteerd | Aantoonbaar wordt opvolging gegeven aan verbetervoorstellen uit analyserapportages. | Security-monitoringsrapportage | Control |
CLD_C.05.06 | Gemonitord en gerapporteerd | De beveiligingsplannen worden periodiek geactualiseerd en toegewezen aan de hiervoor verantwoordelijke functionarissen. | Security-monitoringsrapportage | Control |
CLD_C.06.01 | Processtructuur | De samenhang van processen wordt in een processtructuur vastgelegd. | Beheersorganisatie clouddiensten | Control |
CLD_C.06.02 | Taken, verantwoordelijkheden en bevoegdheden | De Cloud Service Provider (CSP) heeft de taken en verantwoordelijkheden voor de uitvoering van de beheer(s)werkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. | Beheersorganisatie clouddiensten | Control |
CLD_C.06.03 | Functionarissen | De belangrijkste functionarissen (stakeholders) voor de beheersingsorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt. | Beheersorganisatie clouddiensten | Control |
CLD_U.01.01 | Nationale standaarden | De Cloud Service Provider (CSP) maakt haar dienstverlening transparant, zodat de Cloud Service Consumer (CSC) aantoonbaar aan de voor haar verplichte BIO en Pas-toe-of-leg-uit standaarden kan voldoen. | Standaarden voor clouddiensten | Uitvoering |
CLD_U.01.02 | Internationale standaarden | De Cloud Service Provider (CSP) treft beveiligingsmaatregelen gebaseerd op internationale standaarden, zoals:
| Standaarden voor clouddiensten | Uitvoering |
CLD_U.02.01 | Risico-analyse | De risico’s op de middelen die binnen de scope van clouddiensten ressorteren, worden geïdentificeerd, op waarde geschat (gekwantificeerd of gekwalificeerd) en beschreven met risico-evaluatiecriteria en -doelstellingen van de Cloud Service Provider (CSP). | Risico-assessment | Uitvoering |
CLD_U.02.02 | Risico-evaluatie | De geïdentificeerde risico’s worden geëvalueerd met risico-acceptatiecriteria. | Risico-assessment | Uitvoering |
CLD_U.03.01 | Redundantie | De overeengekomen continuïteit wordt gewaarborgd door voldoende logisch of fysiek meervoudig uitgevoerde systeemfuncties. | Bedrijfscontinuïteitsservices | Uitvoering |
CLD_U.03.02 | Continuïteitseisen | De met de Cloud Service Consumer (CSC)-organisatie overeengekomen continuïteitseisen voor cloud-services wordt gewaarborgd door specifieke in de systeemarchitectuur beschreven maatregelen. | Bedrijfscontinuïteitsservices | Uitvoering |
CLD_U.04.01 | Herstelfunctie | De data en clouddiensten worden in het geval van calamiteiten binnen de overeengekomen periode en maximale dataverlies hersteld en aan de Cloud Service Consumer (CSC) beschikbaar gesteld. | Herstelfunctie voor data en clouddiensten | Uitvoering |
CLD_U.04.02 | Herstelfunctie | Het continue proces van herstelbaar beveiligen van data wordt gemonitord. | Herstelfunctie voor data en clouddiensten | Uitvoering |
CLD_U.04.03 | Getest | Het toereikend functioneren van herstelfuncties wordt periodiek getest door gekwalificeerd personeel en de resultaten daarvan worden gedeeld met de Cloud Service Consumer (CSC). | Herstelfunctie voor data en clouddiensten | Uitvoering |
CLD_U.05.01 | Cryptografische maatregelen | Gegevenstransport wordt naar de laatste stand der techniek beveiligd met cryptografie (conform Forum Standaardisatie), waarbij het sleutelbeheer zo mogelijk door de Cloud Service Consumer (CSC) zelf wordt uitgevoerd. | Dataprotectie | Uitvoering |
CLD_U.05.02 | Cryptografische maatregelen | Opgeslagen gegevens in de clouddienst worden naar de laatste stand der techniek beveiligd met encryptie en met een tenminste voor het doel toereikende sleutellengte, waarbij het sleutelbeheer zo mogelijk niet als clouddienst wordt afgenomen en door de Cloud Service Consumer (CSC) zelf wordt uitgevoerd. | Dataprotectie | Uitvoering |
CLD_U.06.01 | Bewaartermijn | De gegarandeerde en met de Cloud Service Provider (CSP) overeengekomen opslagduur is contractueel vastgelegd en voldoet aan de Archiefwet. | Dataretentie en gegevensvernietiging | Uitvoering |
CLD_U.06.02 | Technologie-onafhankelijk, raadpleegbaar | Gegevens zijn onafhankelijk van de door de Cloud Service Provider (CSP) toegepaste technologie raadpleegbaar tijdens de gehele bewaartermijn. | Dataretentie en gegevensvernietiging | Uitvoering |
CLD_U.06.03 | Onveranderbaar | Gegevens worden zo mogelijk gearchiveerd met Write Once Read Many (WORM)-technologie, waarmee de integriteit van de data wordt gegarandeerd. | Dataretentie en gegevensvernietiging | Uitvoering |
CLD_U.06.04 | Vernietigd | Voorafgaand aan het voor onderhoudsdoeleinden wijzigen van opslagmedia, wordt de data van de Cloud Service Consumer (CSC), inclusief de back-up van gegevens en metadata veilig gewist of vernietigd. | Dataretentie en gegevensvernietiging | Uitvoering |
CLD_U.06.05 | Vernietigd | Bij het beëindigen van de contractrelatie wordt de data van de Cloud Service Consumer (CSC), inclusief de back-up van gegevens en de metadata veilig gewist, om te voorkomen dat de CSC-gegevens naderhand door de Cloud Service Provider (CSP) kunnen worden hersteld, bijvoorbeeld met forensische hulpmiddelen. | Dataretentie en gegevensvernietiging | Uitvoering |
CLD_U.07.01 | Geïsoleerd | Permanente isolatie van gegevens wordt gerealiseerd binnen een multi-tenantarchitectuur. Patches en aanpassingen van applicaties en infrastructuur worden op een gecontroleerde wijze gerealiseerd voor alle clouddiensten die de Cloud Service Consumer (CSC) afneemt. | Datascheiding | Uitvoering |
CLD_U.07.02 | Geïsoleerd | Isolatie van Cloud Service Consumer (CSC)-gegevens wordt gegarandeerd door deze onder alle bedrijfsomstandigheden minimaal logisch te scheiden van de data van andere CSC’s. | Datascheiding | Uitvoering |
CLD_U.07.03 | Beheerfuncties | De bevoegdheden voor het inzien of wijzigen van Cloud Service Consumer (CSC)-data en/of van encryptiesleutels door beheerfuncties en beheerders worden gecontroleerd verleend en het gebruik van deze rechten wordt gelogd. | Datascheiding | Uitvoering |
CLD_U.08.01 | Gescheiden | De Cloud Service Provider (CSP) realiseert de volgende scheiding van clouddienstverlening:
| Scheiding dienstverlening | Uitvoering |
CLD_U.09.01 | Beheersmaatregelen | De Cloud Service Provider (CSP) specificeert, als onderdeel van de overeenkomst, welke maatregelen (voor onder andere malwareprotectie) op welke positie in de informatieketen van de Cloud Service Consumer (CSC) en CSP moeten worden genomen. | Malwareprotectie clouddiensten | Uitvoering |
CLD_U.09.02 | Beheersmaatregelen | De Cloud Service Provider (CSP) heeft de voor ontwikkeling en exploitatie van clouddiensten gebruikte IT-systemen en netwerkperimeters waarvoor zij verantwoordelijk is, uitgerust met tools ter bescherming en verwijdering van malware. | Malwareprotectie clouddiensten | Uitvoering |
CLD_U.09.03 | Detectie, preventie en herstel | De malwareprotectie wordt op verschillende omgevingen uitgevoerd, zoals op mailservers, (desktop)computers en bij de toegang tot het netwerk van de organisatie. De scan op malware omvat onder andere:
| Malwareprotectie clouddiensten | Uitvoering |
CLD_U.10.01 | Gebruikers | De Cloud Service Provider (CSP) biedt de Cloud Service Consumer (CSC) uitsluitend toegang tot services, IT-diensten en data waarvoor zij specifiek bevoegd is, waarbij:
| Toegang IT-diensten en data | Uitvoering |
CLD_U.10.02 | Gebruikers | Onder verantwoordelijkheid van de Cloud Service Provider (CSP) wordt aan beheerders toegang verleend:
| Toegang IT-diensten en data | Uitvoering |
CLD_U.10.03 | Gebruikers | Alleen gebruikers met geauthentiseerde apparatuur kunnen toegang krijgen tot IT-diensten en data. | Toegang IT-diensten en data | Uitvoering |
CLD_U.10.04 | Bevoegd | Onder de verantwoordelijkheid van de Cloud Service Provider (CSP) worden bevoegdheden (systeemautorisaties) voor gebruikers toegekend via formele procedures. | Toegang IT-diensten en data | Uitvoering |
CLD_U.10.05 | Bevoegd | Toegang tot IT-diensten en data is beperkt door technische maatregelen en is geïmplementeerd, bijvoorbeeld met het rollen- en rechtenconcept. | Toegang IT-diensten en data | Uitvoering |
CLD_U.11.01 | Beleid | In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
| Cryptoservices | Uitvoering |
CLD_U.11.02 | Cryptografische maatregelen | In geval van PKIoverheid-certificaten: hanteer de PKIoverheid-eisen ten aanzien van het sleutelbeheer. In overige situaties: hanteer de standaard ISO 11770 voor het beheer van cryptografische sleutels. | Cryptoservices | Uitvoering |
CLD_U.11.03 | Versleuteld | Gevoelige data (op transport en in rust) is altijd versleuteld, waarbij private sleutels in beheer zijn bij de Cloud Service Consumer (CSC). Het gebruik van een private sleutel door de Cloud Service Provider (CSP) is gebaseerd op een gecontroleerde procedure en moet gezamenlijk worden overeengekomen met de CSC-organisatie. | Cryptoservices | Uitvoering |
CLD_U.12.01 | Netwerkconnecties | In koppelpunten met externe of onvertrouwde zones zijn maatregelen getroffen om mogelijke aanvallen die de beschikbaarheid van de informatievoorziening negatief beïnvloeden (bijvoorbeeld Distributed Denial of Service attacks (DDos)-aanvallen) te signaleren en hierop te reageren. | Koppelvlakken | Uitvoering |
CLD_U.12.02 | Netwerkconnecties | Fysieke en gevirtualiseerde netwerkcomponenten zijn zodanig ontworpen en geconfigureerd dat netwerkconnecties tussen vertrouwde en onvertrouwde netwerken worden beperkt en gemonitord (bewaakt). | Koppelvlakken | Uitvoering |
CLD_U.12.03 | Netwerkconnecties | Beheeractiviteiten van de Cloud Service Provider (CSP) zijn strikt gescheiden van de data van de Cloud Service Consumer (CSC). | Koppelvlakken | Uitvoering |
CLD_U.12.04 | Netwerkconnecties | Dataverkeer voor Cloud Service Consumers (CSC’s) zijn in gezamenlijk gebruikte netwerkomgevingen gescheiden volgens een gedocumenteerd concept voor de op netwerkniveau (logische) segmentatie van CSC’s, om zo de integriteit en vertrouwelijkheid van de verzonden gegevens te garanderen. | Koppelvlakken | Uitvoering |
CLD_U.12.05 | Bewaakt | Het dataverkeer dat de Cloud Service Provider (CSP) binnenkomt of uitgaat, wordt in relatie tot de aard van de te beschermen gegevens/informatiesystemen bewaakt en geanalyseerd op kwaadaardige elementen middels detectievoorzieningen. | Koppelvlakken | Uitvoering |
CLD_U.12.06 | Bewaakt | De Cloud Service Provider (CSP) heeft Intrusion Detection Prevention (IDP) en Intrusion Detection System (IDS) geïntegreerd in een allesomvattend Security Information and Event Management (SIEM), zodat beveiligingsgebeurtenissen en onbekende apparatuur vanuit de benodigde technische maatregelen worden opgemerkt en correctieve maatregelen kunnen worden genomen. | Koppelvlakken | Uitvoering |
CLD_U.12.07 | Beheerst | Bij ontdekte nieuwe dreigingen worden deze, rekening houdend met geldende juridische kaders, verplicht gedeeld binnen de overheid, waaronder met het Nationaal Cyber Security Centrum (NCSC) (alleen voor rijksoverheidsorganisaties) of de sectorale Computer Emergency Response Team (CERT), bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing). | Koppelvlakken | Uitvoering |
CLD_U.13.01 | Coördinatie | Cloud-orkestratietechnologie functioneert met heterogene systemen en mogelijk wereldwijde cloud-implementatie (op verschillende geografische locaties en met verschillende Cloud Service Providers (CSP’s)). | Service-orkestratie | Uitvoering |
CLD_U.13.02 | Servicecomponenten | De functionele samenhang van de servicecomponenten is beschreven. | Service-orkestratie | Uitvoering |
CLD_U.13.03 | Servicecomponenten | Voor orkestratie van cloud-services is de volgende informatie benodigd:
| Service-orkestratie | Uitvoering |
CLD_U.14.01 | Interoperabiliteit | Om de interoperabiliteit van cloud-services te garanderen, zijn gegevens beschikbaar conform erkende industrie-standaarden en gedocumenteerde invoer- en uitvoerinterfaces. | Interoperabiliteit en portabiliteit | Uitvoering |
CLD_U.14.02 | Portabiliteit | Om de portabiliteit van de data te garanderen, maakt de CSP gebruik van beveiligde netwerkprotocollen voor de import en export van data waarmee de integriteit en vertrouwelijkheid wordt gegarandeerd. | Interoperabiliteit en portabiliteit | Uitvoering |
CLD_U.15.01 | Gebeurtenissen geregistreerd | Het overtreden van de beleidsregels wordt door de Cloud Service Provider (CSP) en de Cloud Service Consumer (CSC) vastgelegd. | Logging en monitoring clouddiensten | Uitvoering |
CLD_U.15.02 | Gebeurtenissen geregistreerd | De Security Information and Event Management (SIEM) en/of Security Operation Centre (SOC) hebben heldere regels over wanneer een incident moet worden gerapporteerd aan het verantwoordelijk management. | Logging en monitoring clouddiensten | Uitvoering |
CLD_U.15.03 | Gebeurtenissen geregistreerd | De Cloud Service Provider (CSP) hanteert een lijst van alle activa die kritisch zijn in termen van logging en monitoring en beoordeelt deze lijst regelmatig op correctheid. | Logging en monitoring clouddiensten | Uitvoering |
CLD_U.15.04 | Gebeurtenissen geregistreerd | Aan logboeken en bewaking worden strenge eisen gesteld. Voor de kritieke componenten zijn geavanceerde beveiligingen voor logboeken en bewaking gedefinieerd. | Logging en monitoring clouddiensten | Uitvoering |
CLD_U.15.05 | Gebeurtenissen geregistreerd | De toegang tot en het beheer van de loggings- en monitoringsfunctionaliteit is beperkt tot geselecteerde en geautoriseerde medewerkers van de Cloud Service Provider (CSP). | Logging en monitoring clouddiensten | Uitvoering |
CLD_U.15.06 | Gebeurtenissen geregistreerd | Wijzigingen in logging en monitoring worden gecontroleerd door onafhankelijke en geautoriseerde medewerkers. (Logregels mogen nooit worden gewijzigd; deze zijn immers bedoeld om als bewijslast te kunnen gebruiken.) | Logging en monitoring clouddiensten | Uitvoering |
CLD_U.16.01 | Samenhang | De architectuur specificeert ten minste het volgende:
| Clouddienstenarchitectuur | Uitvoering |
CLD_U.17.01 | Versleuteld | Cloud Service Consumer (CSC)-data op transport en in rust is versleuteld. | Multi-tenantarchitectuur | Uitvoering |
CLD_U.17.02 | Gescheiden | Virtuele machine platforms voor Cloud Service Consumers (CSC’s) met speciale/verhoogde beveiligingsvereisten zijn gescheiden ingericht. | Multi-tenantarchitectuur | Uitvoering |
CLD_U.17.03 | Gehardende | Virtuele machine platforms zijn gehardend. | Multi-tenantarchitectuur | Uitvoering |