ISOR/totaaltabel

Uit NORA Online
Ga naar: navigatie, zoeken
Tabel met alle elementen in het normenkader BIO Thema-uitwerking Clouddiensten.
Een element kan zijn: Beveiligingsprincipe, Hoofdstuk normenkader, Norm, Normenkader, Normenkader-aspect, Privacyprincipe
Tip: klik op het pijltje naast 'ID' voor een logische volgorde.
IDElementtypeDeze speciale eigenschap maakt deel uit van WikiXL SmartCore (tm). Gebruik deze eigenschap niet voor andere doeleinden.VersieaanduidingStatus actualiteitRedactionele wijzigingsdatumPublicatiedatumBeschrijvingToelichtingConformiteitsindicatorCriteriumDoelstellingRisicoBeveiligingsaspectInvalshoekGrondslagStellingGrondslag opmerkingenRealiseertAfbeeldingOnderschriftPxAlt-tekstWijzigingsdatum"Wijzigingsdatum <span style="font-size:small;">(Modification date)</span>" is a predefined property that corresponds to the date of the last modification of a subject and is provided by Semantic MediaWiki. 
CLD_U.14Beveiligingsprincipe2.1Actueel17 januari 202229 oktober 2021==Objectdefinitie==

Betreft het zonder bijzondere hulpmiddelen of aanpassingen met andere organisaties en systemen kunnen laten functioneren van diensten en uitwisselen van gegevens.

Inhoud

Objecttoelichting

Om het risico van vendor lock-in en afhankelijkheden van externe IT-voorzieningen te voorkomen, moet de Cloud Service Provider (CSP) in dialoog met de Cloud Service Consumer (CSC) erop toezien, dat clouddiensten zodanig zijn ingericht, dat deze interoperabel zijn en dat de dataset van de CSC overdraagbaar is, zonder dat daarvoor bijzonder kostbare of complexe hulpmiddelen of bewerkelijke aanpassingen per clouddienst nodig zijn.
Interoperabiliteit, portabiliteitCloud-services zijn bruikbaar (interoperabiliteit) op verschillende IT-platforms en kunnen met standaarden verschillende IT-platforms met elkaar verbinden en data overdragen (portabiliteit) naar andere CSP’s.Het zorgen dat cloud-services bruikbaar zijn op verschillende IT-platforms en data makkelijk kan worden doorgegeven aan een andere CSP zonder dat de integriteit en vertrouwelijkheid wordt aangetast.Cloudservices zijn niet toe te passen op andere IT-platforms en data kan niet naar een andere CSP worden overgedragen.UitvoeringGedrag
  • NEN-ISO/IEC 19941:2017 (Information technology - Cloud computing - Interoperability and portability): 7.1.7
  • Cloud Computing Compliance Criteria Catalogue - C5:2020: COS-02
17 januari 2022 13:48:51Interoperabiliteit en portabiliteit
CLD_B.06Beveiligingsprincipe2.1Actueel17 januari 202229 oktober 2021==Objectdefinitie==

Betreft een besturingsproces voor een methodische aanpak van beveiligingsrisico’s.

Objecttoelichting

Clouddiensten zijn voortdurend onderhevig aan dreigingen, zwakheden en risico’s. Het is van belang om een risicomanagementproces in te richten en de verantwoordelijkheden hiervoor te benoemen, waarbij een risicomanagementaanpak(methode) en de te hanteren scope worden vastgesteld. Hierbij gaat het om het identificeren en kwantificeren van risico’s voor clouddiensten en het vaststellen van beheersmaatregelen. Met beheersmaatregelen worden de activiteiten bedoeld waarmee de kans van optreden en/of de gevolgen van een incident worden beperkt.


Het risicomanagementproces maakt onderdeel uit van een Information Security Management Systeem (ISMS), zoals beschreven is in de ISO 27001 Managementsystemen voor informatiebeveiliging - Eisen en is uitgewerkt in de ISO 27005 Information security risk management.
Verantwoordelijkheden en risicomanagementprocesDe Cloud Service Provider (CSP) behoort de organisatie en verantwoordelijkheden voor het risicomanagementproces voor de beveiliging van clouddiensten te hebben opgezet en onderhouden.Om personen die verantwoordelijk zijn voor clouddiensten in staat te stellen effectief en tijdig belangrijke informatierisico's te identificeren, evalueren en de behandeling te bepalen nodig om deze risico's binnen aanvaardbare grenzen te houden.De getroffen beveiligingsmaatregelen liggen buiten de aanvaardbare grenzen. De clouddiensten worden onder- of overbeveiligd.BeleidIntentie
  • NEN-ISO/IEC 27005:2018 (Information security risk management): 7.4
17 januari 2022 10:48:48Risicomanagement
CLD_U.15Beveiligingsprincipe2.1Actueel17 januari 202229 oktober 2021==Objectdefinitie==

Omvat het vastleggen van informatiebeveiligingsgerelateerde gebeurtenissen en het bewaken en onderkennen van afwijkingen op beleidsregels.

Objecttoelichting

De beoogde werking van IT-functies in de informatieketen behoort via logging en monitoring te worden bewaakt. Monitoring is gericht op het onderkennen van eventuele afwijkingen op beleidsregels en logging is gericht op het vastleggen van gebeurtenissen, als bewijslast en ter verbetering en/of herstel.
Logbestanden waarin gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiliging gebeurtenissen worden geregistreerd, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.Het tijdig detecteren en vastleggen van ongeoorloofde en/of onjuiste activiteiten van medewerkers en storingen van IT-functies in de informatieketen.Afwijkingen van normaal gedrag zijn niet zichtbaar en niet te onderzoeken en herstelacties kunnen niet tijdig worden genomen.UitvoeringGedrag
  • BIO (Baseline Informatiebeveiliging Overheid): 12.4.1
30017 januari 2022 13:53:26Logging en monitoring clouddiensten
CLD_U.09Beveiligingsprincipe2.1Actueel17 januari 202229 oktober 2021==Objectdefinitie==

Omvat het continu beschermen van Cloud Service Consumer (CSC)-data tegen schadelijke software.

Objecttoelichting

Data in de informatieketen van de CSC en de Cloud Service Provider (CSP) wordt continu beschermd tegen malware, zoals virussen. Bij uitbesteding zal de CSP bescherming tegen malware toepassen ook op de virtuele machines.
Beheersmaatregelen, detectie, preventie en herstelTer bescherming tegen malware behoren beheersmaatregelen te worden geïmplementeerd voor detectie, preventie en herstel in combinatie met een passend bewustzijn van de gebruikers.Het zorgen dat informatie in de keten van de CSC en CSP continue beschermd wordt tegen malware.Malware wordt niet of te laat opgespoord en aangetroffen malware wordt niet of voldoende hersteld.UitvoeringFunctie
  • BIO (Baseline Informatiebeveiliging Overheid): 12.2.1
17 januari 2022 15:52:56Malwareprotectie clouddiensten
CLD_U.02Beveiligingsprincipe2.1Actueel17 januari 202229 oktober 2021==Objectdefinitie==

Betreft een onderzoek naar de mogelijkheid dat een bepaald risico zich voordoet en naar de schadelijke effecten als het risico optreedt.

Objecttoelichting

Risico-assessment is een onderdeel van risicomanagement en omvat het onderkennen van dreigingen en kwetsbaarheden. Het risicomanagementproces maakt onderdeel uit van het managementsysteem voor informatiebeveiliging, zoals beschreven is in de ISO 27001 (Managementsystemen voor informatiebeveiliging) en risicomanagement is uitgewerkt in de ISO 27005 (Information security risk management).
Risico-analyse, risico-evaluatieDe Cloud Service Provider (CSP) behoort een risico-assessment uit te voeren, bestaande uit een risico-analyse en risico-evaluatie met de criteria en de doelstelling voor clouddiensten van de CSP.Een beeld krijgen van mogelijke risico’s die van invloed kunnen zijn op clouddiensten en vaststellen op welke wijze de risico's beheerst kunnen worden of teruggebracht tot een aanvaardbaar niveau.Geen of onvoldoende zicht hebben op de risico’s die van invloed zijn op clouddiensten.UitvoeringIntentie
  • NEN-ISO/IEC 27005:2018 (Information security risk management): 8.1
17 januari 2022 15:20:03Risico-assessment
CLD_C.02Beveiligingsprincipe2.1Actueel10 januari 202229 oktober 2021==Objectdefinitie==

Betreft het beoordelen van continu onderzoek naar dreigingen en kwetsbaarheden en het beoordelen van de beheersing van onderkende risico’s.

Objecttoelichting

Risico-control is het monitoren en reviewen van activiteiten van de risico-assessment in relatie met risicomanagement. Het monitoren en reviewen van risico’s is noodzakelijk omdat risicofactoren: waarde van assets, impact, dreigingen, zwakheden en kans op voorkomen steeds veranderen. Risico-control kan ondersteund worden door extern verkregen informatie over dreigingen en zwakheden.
Gemonitord en gereviewdRisicomanagement en het risico-assessmentproces behoren continu te worden gemonitord en gereviewd en zo nodig te worden verbeterd.Tijdig nagaan of er veranderingen aanwezig zijn die van invloed zijn op de uitkomst van de risico-assessment.Het niet of te laat anticiperen op risicofactoren die van invloed zijn op de uitkomst van de risico-assessment.ControlIntentie
  • NEN-ISO/IEC 27005:2018 (Information security risk management): 12.1 en 12.2
10 januari 2022 14:50:05Risico-control
CLD_U.01Beveiligingsprincipe2.1Actueel17 januari 202229 oktober 2021==Objectdefinitie==

Omvat een set aan documenten met erkende afspraken, specificaties of criteria die de conditionering, inrichting en beheersing van clouddiensten ondersteunen.

Objecttoelichting

Het toepassen van (open) industrie-standaarden door Cloud Service Providers (CSP’s), met name op het koppelvlak met de Cloud Service Consumer (CSC), maakt het mogelijk dat data en IT-functionaliteiten, geboden via clouddiensten eenvoudiger, betrouwbaarder en veiliger geleverd kunnen worden aan de CSC. Dankzij deze standaarden kunnen IT-functionaliteiten en data, na een overeengekomen beëindiging van het contract tussen de CSC en de CSP, eenvoudig(er) worden overgedragen aan een nieuwe CSP.
Nationale standaarden, internationale standaardenDe CSP past aantoonbaar relevante nationale standaarden en internationale standaarden toe voor de opzet en exploitatie van de diensten en de interactie met de CSC.Het bewerkstelligen van de benodigde coördinatie van activiteiten voor de inrichting, dienstverlening en beheersing van clouddiensten.Generieke risico’s zijn niet of onvoldoende gemitigeerd.UitvoeringIntentie
  • CIP-netwerk
17 januari 2022 15:16:14Standaarden voor clouddiensten
CLD_B.07Beveiligingsprincipe2.1Actueel17 januari 202229 oktober 2021==Objectdefinitie==

Omvat toepassingsfuncties die door clouddiensten worden geleverd.

Objecttoelichting

IT-diensten leveren functionaliteiten met technologie gerelateerd aan het internet. Voorbeelden van zulke diensten zijn: generieke diensten, zoals: applicatiediensten (SaaS), storagediensten, Cloud Virtual Private Server, infrastructuur, Global Positioning System (GPS) informatiedienst, maar ook specifieke diensten, zoals: GPS Douanediensten. Deze clouddiensten kunnen ook aan dreigingen worden blootgesteld. Vandaar dat deze IT-diensten aan de vereiste beveiligingsaspecten moeten voldoen.
IT-functionaliteit, robuuste en beveiligde systeemketenIT-functionaliteiten behoren te worden verleend vanuit een robuuste en beveiligde systeemketen van de Cloud Service Provider (CSP) naar de Cloud Service Consumer (CSC).Zorgen dat IT-functionaliteiten aan de vereiste beveiligingsaspecten voldoen.IT-functionaliteiten zijn een zwakke schakel in de beveiliging.BeleidFunctie
  • The Standard of Good Practice for Information Security 2018: BC1.3
17 januari 2022 10:56:03IT-functionaliteit
CLD_U.07Beveiligingsprincipe2.1Actueel17 januari 202229 oktober 2021==Objectdefinitie==

Betreft het duurzaam isoleren van Cloud Service Consumer (CSC)-data van andere CSC’s.

Objecttoelichting

Het isoleren van de data (in bewerking of in rust) van de CSC, van alle data van de Cloud Service Provider (CSP) en van de data van andere CSC’s. Duurzame scheiding van CSC-data en van de data van andere bedrijven (secure multi-tenancy), zowel tijdens transport, in bewerking als opslag, is randvoorwaardelijk voor het afnemen van veilige clouddiensten.
Geïsoleerd, beheerfunctiesCSC-gegevens behoren tijdens transport, bewerking en opslag duurzaam geïsoleerd te zijn van beheerfuncties en data van en andere dienstverlening aan andere CSC’s, die de CSP in beheer heeft.Zorgen dat de data van of in beheer van de CSC alleen toegankelijk is voor deze CSC.Andere CSC’s en de CSP krijgen toegang tot de data of in beheer van de CSP en vice versa.UitvoeringFunctie
  • NEN-EN-ISO/IEC 27040:2016 (Storage security): 7.7.4
17 januari 2022 15:45:53Datascheiding
CLD_C.05Beveiligingsprincipe2.1Actueel10 januari 202229 oktober 2021==Objectdefinitie==

Omvat het continu bewaken van security-gebeurtenissen en de rapportage over de geconstateerde afwijking van het overeengekomen beveiligingsniveau.

Objecttoelichting

Onder security-monitoring wordt voor clouddiensten verstaan, het reviewen, analyseren, signaleren en tijdig rapporteren van zwakheden, onveilige interfaces en ongeautoriseerde toegangspogingen, om misbruik te voorkomen en om met de ernst van de signalering acties te ondernemen.


De bewakingsfunctie is voorbehouden aan de daartoe verantwoordelijke functionaris(sen) en vindt mede plaats met geregistreerde gegevens (logging).


De loggegevens behoren regelmatig te worden geanalyseerd en de resultaten van deze analyses moeten worden gerapporteerd (alerting). Ook moet de Cloud Service Provider (CSP) regelmatig rapporteren over of en de mate waarin afwijkingen zijn geconstateerd op het overeengekomen beveiligingsniveau.
Gemonitord en gerapporteerdDe performance van de informatiebeveiliging van de cloud-omgeving behoort regelmatig te worden gemonitord en hierover behoort tijdig te worden gerapporteerd aan verschillende stakeholders.Gebeurtenissen (performance van de informatiebeveiliging van de cloud-omgeving) vastleggen, bewijs verzamelen en betrokkenen daarvan op de hoogte te stellen.Misbruik van de performance van informatiebeveiliging van de cloud-omgeving.ControlGedrag
  • NEN-ISO/IEC 27002: 12.4
  • The Standard of Good Practice for Information Security 2018: S12.1
10 januari 2022 15:46:14Security-monitoringsrapportage
CLD_C.04Beveiligingsprincipe2.1Actueel10 januari 202229 oktober 2021==Objectdefinitie==

Betreft een instandhoudingsproces voor het onderzoek naar en het oplossen van technische kwetsbaarheden.

Objecttoelichting

Het verzamelen en beheren van security-kwetsbaarheden en issues in clouddiensten. Voor wat betreft de services van de Cloud Service Consumer (CSC), het transparant communiceren van kwetsbaarheden van de genomen (of nog te nemen) maatregelen voor IT en organisatie. De CSC wenst op een transparante wijze op de hoogte gesteld te worden van de kwetsbaarheden en issues gerelateerd aan de beveiliging van de clouddiensten.


Door technische assessments uit te voeren op de ICT-componenten worden aanwezige kwetsbaarheden zichtbaar en kunnen deze worden weergegeven in een rapportage. Met deze rapportage kan de CSP de afweging maken welke kwetsbaarheden relevant zijn en verholpen moeten worden en welke risico’s ten aanzien van deze kwetsbaarheden geaccepteerd kunnen worden.


De frequentie voor het uitvoeren van technische assessments moet zijn vastgesteld met het voor de clouddienst actuele risicoprofiel en actie moet worden ondernomen als geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of als tekortkomingen worden geconstateerd.
Technische kwetsbaareden, geëvalueerdInformatie over technische kwetsbaarheden van gebruikte informatiesystemen behoort tijdig te worden verkregen; de blootstelling aan dergelijke kwetsbaarheden dienen te worden geëvalueerd en passende maatregelen dienen te worden genomen om het risico dat ermee samenhangt aan te pakken.Het voorkomen van het benutten van technische kwetsbaarheden door onbevoegden.Een technische kwetsbaarheid wordt niet of niet tijdig ontdekt.ControlFunctie
  • BIO (Baseline Informatiebeveiliging Overheid): 12.6.1
10 januari 2022 15:41:27Technische kwetsbaarhedenbeheer clouddiensten
CLD_U.08Beveiligingsprincipe2.1Actueel17 januari 202229 oktober 2021==Objectdefinitie==

Betreft het door de Cloud Service Provider (CSP) duurzaam isoleren van de te verrichten diensten tussen de verschillende Cloud Service Consumers (CSC’s) en tussen CSC’s en de CSP.

Objecttoelichting

Het isoleren van diensten/services van/voor de CSC, van alle diensten/services die niet voor die specifieke dienstverlening benodigd zijn, zoals die van/voor andere CSC’s. De dienstverlening, die specifiek aan een bepaalde CSC wordt geleverd, is gescheiden van diensten die de CSP levert aan andere CSC’s en is gescheiden van de interne informatievoorziening van de CSP. Ongewenste beïnvloeding of communicatie waardoor datalekken kunnen ontstaan, moet worden voorkomen.
GescheidenDe cloud-infrastructuur is zodanig ingericht dat de dienstverlening aan gebruikers van informatiediensten zijn gescheiden.Het voorkomen van ongewenste beïnvloeding of communicatie van data tussen de CSC en CSP en andere CSC’s.Beïnvloeding of communicatie van data.UitvoeringFunctie
  • CIP-netwerk
17 januari 2022 15:48:42Scheiding dienstverlening
CLD_B.02Beveiligingsprincipe2.1Actueel17 januari 202229 oktober 2021==Objectdefinitie==

Omvat het plan van handelen van de CSP waarmee zijn beveiligingsdoelstellingen voor de clouddienstenlevering kunnen worden gerealiseerd.

Objecttoelichting

Organisaties staan voor de vraag, welke clouddiensten ze moeten verwerven en waar en hoe ze deze veilig kunnen inzetten. Hiervoor moeten de IT-stakeholders van Cloud Service Providers (CSC’s) een beslissingsraamwerk ontwikkelen, waarmee systematisch de mogelijke scenario’s kunnen worden onderzocht. Dit raamwerk richt zich met name op typen applicaties en technische karakteristieken. Een strategie omvat uitspraken over de doelstellingen bij de inzet van de clouddiensten die de organisatie wil nastreven en de wegen waarlangs of de wijze waarop dit moet plaatsvinden.


Om CSC’s te kunnen bedienen, heeft de CSP vanuit haar eigen optiek een cloudbeveiligingsstrategie ontwikkeld. Deze strategie geeft de CSC’s voldoende mogelijkheden om hun cloud-strategie te relateren aan de strategie van een specifieke CSP. Dit biedt de CSC de mogelijkheid om haar keuzes bij te stellen dan wel aanvullende eisen aan de CSP te stellen.
Cloudbeveiligingsstrategie, samenhangtDe CSP behoort een cloudbeveiligingsstrategie te hebben ontwikkeld die samenhangt met de strategische doelstelling van de CSP en die aantoonbaar de informatieveiligheid ondersteunt.Het vooraf vaststellen wat de CSC wil nastreven met de beveiliging van clouddiensten en hoe dat bereikt gaat worden.Het niet beschikken over een overeengekomen leidraad/globale manier van aanpak bij het beveiligen van clouddiensten.BeleidIntentie
  • The Standard of Good Practice for Information Security 2018: SG2.1
17 januari 2022 10:03:08Cloudbeveiligingsstrategie
CLD_U.13Beveiligingsprincipe2.1Actueel17 januari 202229 oktober 2021==Objectdefinitie==

Betreft het arrangeren, beoordelen en bijsturen door de Cloud Service Consumer (CSC) van de set van diensten die door een Cloud Service Provider (CSP) worden geleverd.

Objecttoelichting

De CSP orkestreert de clouddiensten. Dat wil zeggen, dat zij de clouddiensten arrangeert (beoordeelt en bijstuurt) en dat de informatie met standaard berichten uitgewisseld kan worden tussen de clouddiensten van de CSP en de CSC’s, zodat de kwaliteit van de te leveren clouddienst aan de CSC overeenkomt met de overeengekomen Quality of Service (QoS), informatieveiligheid en kosten.
coördinatieservice-componentenService-orkestratie biedt coördinatie, aggregatie en samenstelling van de servicecomponenten van de cloud-service die aan de CSC wordt geleverd.De kwaliteit van de te leveren clouddienst aan de CSC komt overeen met de overeengekomen QoS, informatieveiligheid en kosten.Niet of onvoldoende coördinatie, aggregatie en samenstelling van de servicecomponenten van de cloud-service.UitvoeringGedrag
  • NEN-ISO/IEC 17789:2014 (Cloud computing - Reference architecture): 9.2.3.4
17 januari 2022 13:39:14Service-orkestratie
CLD_B.04Beveiligingsprincipe2.1Actueel6 december 202129 oktober 2021==Objectdefinitie==

Omvat beleidsuitgangspunten en de wijze waarop, in welk tijdbestek en met welke middelen, de beveiligingsdoelstellingen voor clouddiensten bereikt moeten worden.

Objecttoelichting

Het onderwerp clouddiensten moet een specifiek onderdeel zijn van het informatiebeveiligingsbeleid van de Cloud Service Consumer (CSC). Een CSC kan ook kiezen voor een specifiek clouddienstenbeleid, waarbij in de informatiebeveiligingsparagraaf het algemene informatiebeveiligingsbeleid specifiek voor clouddiensten wordt uitgewerkt of ingevuld. Het beleid zal uitgangspunten moeten bevatten over de wijze waarop, binnen welk tijdsbestek en met welke middelen clouddiensten de doelstellingen moeten bereiken. In dit beleid zal ook aandacht moeten worden besteed aan archiveringsbeleid, cryptografiebeleid, certificering en verklaringen.


Om de CSC te kunnen bedienen, zal de Cloud Service Provider (CSP) vanuit haar eigen optiek een cloud-beveiligingsbeleid hebben ontwikkeld. Dit beleid geeft de CSC mogelijkheden om haar cloud-beleid te relateren aan de strategie van de CSP en biedt de CSC de mogelijkheid om de keuzes bij te stellen dan wel aanvullende eisen aan de CSP te stellen.
CloudbeveiligingsbeleidDe CSP behoort haar informatiebeveiligingsbeleid uit te breiden met een cloud-beveiligingsbeleid om de voorzieningen en het gebruik van cloud-services te adresseren.Het beheersen van clouddiensten; dat clouddiensten bijdraagt aan het leveren van producten waarmee de organisatie haar doelstellingen kan realiseren.Onvoldoende mogelijkheid om sturing te geven aan inspanningen voor clouddiensten, waardoor deze niet of onvoldoende bijdragen aan de doelstellingen van de organisatie.BeleidIntentie
  • NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services): 5.1.1
5 januari 2022 08:50:12Clouddienstenbeleid
CLD_B.05Beveiligingsprincipe2.1Actueel5 januari 202229 oktober 2021==Objectdefinitie==

Omvat de inzichtelijkheid van de relaties en samenhang van organisatie, technologie en contracten daarover tussen Cloud Service Consumer (CSC) en Cloud Service Provider (CSP).

Objecttoelichting

Een eenduidige communicatie, waarmee de CSP de verantwoordelijke functionarissen binnen de CSC en CSP inzicht geven over de status van de implementatie en het functioneren van de clouddiensten. Transparantie is in de relatie tussen de CSC en CSP een belangrijk item, dat wordt ondersteund door de clouddienstenarchitectuur. Hierin beschrijft de CSP de relaties tussen de componenten van de clouddiensten (hoe deze aan elkaar gekoppeld zijn). Het verschaft inzicht en overzicht over ICT-componenten en hun onderlinge samenhang. Uit de clouddienstenarchitectuur blijkt hoe de componenten de bedrijfsprocessen van de CSC ondersteunen.
systeembeschrijving, jurisdictieonderzoeksmogelijkheden en certificatenDe CSP voorziet de CSC in een systeembeschrijving waarin de clouddiensten inzichtelijk en transparant worden gespecificeerd en waarin de jurisdictie, onderzoeksmogelijkheden en certificaten worden geadresseerd.De verantwoordelijke functionarissen binnen de CSC en CSP inzicht geven over de status van de implementatie en het functioneren van clouddiensten.De CSP kan levert een dienstverlening die niet of onvolledig is afgestemd op de behoefte van de CSC.BeleidIntentie
  • Cloud Computing Compliance Criteria Catalogue - C5:2020: BC-01, BC-05 en BC-06
5 januari 2022 08:59:15Transparantie
CLD_U.04Beveiligingsprincipe2.1Actueel17 januari 202229 oktober 2021==Objectdefinitie==

Betreft het herstellen van Cloud Service Consumer (CSC)-data en de dienstverlening na onderbrekingen of vernietiging van data en IT-middelen.

Objecttoelichting

Eén van de belangrijkste eisen voor de betrouwbaarheid van clouddienstverlening is de herstelbaarheid van de data en/of de dienstverlening na onderbreking of vernietiging van de data en bedrijfsmiddelen door storingen of calamiteiten: disaster recovery.
Herstelfunctie, getestDe herstelfunctie van de data en clouddiensten, gericht op ondersteuning van bedrijfsprocessen, behoort te worden gefaciliteerd met infrastructuur en IT-diensten, die robuust zijn en periodiek worden getest.Het zeker stellen dat clouddiensten en de data kan worden hersteld, binnen de overeengekomen periode, na onderbreking van de dienstverlening en/of vernietiging van de data.Overschrijden van het maximale dataverlies en/of uitvalsduur.UitvoeringFunctie
  • CIP-netwerk
17 januari 2022 15:25:45Herstelfunctie voor data en clouddiensten
CLD_U.12Beveiligingsprincipe2.1Actueel17 januari 202229 oktober 2021==Objectdefinitie==

Betreft connecties op grensvlakken in de keten tussen Cloud Service Consumer (CSC) en Cloud Service Provider (CSP).

Objecttoelichting

Een koppelvlak is de organisatorische of technische connectie op het grensvlak in de keten van de CSC en CSP. Deze BIO Thema-uitwerking beperkt zich tot de technische connectie. Het beperken van het aantal koppelvlakken vereist de nodige aandacht en toezicht om risico’s van dataverlies te beperken. Beheersing van het aantal koppelvlakken is dus noodzakelijk om risico’s van dataverlies te beperken. Stelsels van koppelvlakken valt onder de ISO 270xx-categorie Netwerkdiensten.
netwerkconnecties, bewaakt, beheerstDe onderlinge netwerkconnecties (koppelvlakken) in de keten van de CSC naar de CSP behoren te worden bewaakt en beheerst om de risico’s van datalekken te beperken.Het bewaken en beheersen van koppelvlakken in de keten van de CSP en de CSC.Data van of in beheer van de CSP komt via de koppelvlakken in handen van de CSP.UitvoeringGedrag
  • CIP-netwerk
17 januari 2022 16:08:29Koppelvlakken
CLD_U.06Beveiligingsprincipe2.1Actueel17 januari 202229 oktober 2021==Objectdefinitie==

Omvat het bewaren en gecontroleerd wissen of vernietigen van Cloud Service Consumer (CSC)-data.

Objecttoelichting

Dataretentie betreft het duurzaam en technologieonafhankelijk opslaan en archiveren van data, waarbij de integriteit en leesbaarheid van de data gedurende de gehele bewaartijd niet wordt aangetast. (Persoons)gegevens moeten zodra ze niet meer benodigd zijn of aan het eind van de bewaartermijn worden gewist of vernietigd. Na de bewaarperiode moet de data teruggaan naar de CSC, naar een andere door de CSC te bepalen Cloud Service Provider (CSP) of te worden gewist/vernietigd.
Bewaartermijn, technologie-onafhankelijk, raadpleegbaar, onveranderbaar, vernietigdGearchiveerde data behoort gedurende de overeengekomen bewaartermijn, technologie-onafhankelijk, raadpleegbaar, onveranderbaar en integer te worden opgeslagen en op aanwijzing van de CSC/data-eigenaar te kunnen worden vernietigd.Het beschikbaar blijven van gegevens indien nodig voor bijvoorbeeld verantwoording en indien gegevens niet meer archiefwaardig zijn, ze tijdig wissen/vernietigen.De beschikbaarheid en integriteit van de data wordt aangetast gedurende archivering en langer archiveren dan noodzakelijk.UitvoeringFunctie
  • CIP-netwerk
17 januari 2022 15:34:35Dataretentie en gegevensvernietiging
CLD_C.03Beveiligingsprincipe2.1Actueel10 januari 202229 oktober 2021==Objectdefinitie==

Betreft de besturing op het voldoen aan de geldende wet- en regelgeving, beleid, richtlijnen en procedures en de onafhankelijke toetsing op de naleving hiervan.

Objecttoelichting

Met compliance wordt aangeduid dat de Cloud Service Provider (CSP) werkt conform de geldende wet- en regelgeving en het uitgestippeld cloud-beveiligingsbeleid. Aan de Cloud Service Consumer (CSC) wordt zekerheid geboden over het beoogde beveiligingsniveau van de aangeboden clouddienst. Hiervoor zal de CSP een compliance-functie moeten hebben ingericht die het management van de CSP bijstaat bij het in control houden van de CSP-organisatie om te werken volgens de geldende wet- en regelgeving en het overeengekomen beveiligingsbeleid.


Assurance is zekerheid geven over de naleving van wet- en regelgeving door een onafhankelijke toetsing. Daarmee wordt aan de CSC zekerheid geboden van het beoogde beveiligingsniveau van de aangeboden clouddienst. Dit vindt plaats met een assurance-rapportage.
Compliancy, assurance, aansluitingDe CSP behoort regelmatig de naleving van de cloud-beveiligingsovereenkomsten op compliancy te beoordelen, jaarlijks een assurance-verklaring aan de CSC uit te brengen en te zorgen voor onderlinge aansluiting van de resultaten uit deze twee exercities.Het voorkomen van het overtreden van wet- en regelgeving, het beveiligingsbeleid, de richtlijnen en de procedures en zekerheid bieden over het beoogde beveiligingsniveau van de clouddienst.Het ongecontroleerd afwijken van hetgeen gesteld is in wet- en regelgeving, het beveiligingsbeleid, de richtlijnen en de procedures en geen zekerheid hebben over het ingevoerde beveiligingsniveau.ControlIntentie
  • NEN-ISO/IEC 27002: 18.2.1 en 18.2.2
10 januari 2022 14:48:17Compliance en assurance
CLD_U.16Beveiligingsprincipe2.1Actueel17 januari 202229 oktober 2021==Objectdefinitie==

Betreft een modelmatige beschrijving van een technische en organisatorische samenhang, waarin de Cloud Service Provider (CSP) de relaties tussen de onderdelen van de clouddiensten en de ondersteuning van de Cloud Service Consumer (CSC) vastlegt.

Objecttoelichting

In de clouddienstenarchitectuur legt de CSP de functionele relaties vast tussen IT-componenten in de gehele keten van de CSC en de CSP. Deze architectuur beschrijft hoe de IT-componenten moeten worden ingericht zodat ze de bedrijfsprocessen van de CSC ondersteunen.
SamenhangDe clouddienstenarchitectuur specificeert de samenhang en beveiliging van de services en de interconnectie tussen de CSC en de CSP en biedt transparantie en overzicht van randvoorwaardelijke omgevingsparameters, voor zowel de opzet, de levering en de portabiliteit van CSC-data.Het bieden van een cloud-landschap ter ondersteuning van de CSC-bedrijfsprocessen dat in samenhang is beveiligd en inzicht geeft in de inrichting daarvan.Geen of onvoldoende sturing hebben op clouddiensten.UitvoeringStructuur
  • CIP-netwerk
17 januari 2022 14:53:51Clouddienstenarchitectuur
CLD_C.01Beveiligingsprincipe2.1Actueel10 januari 202229 oktober 2021==Objectdefinitie==

Betreft het resultaat van besluitvorming voor het inrichten van beheerprocessen en het systematisch ontwikkelde aanbevelingen voor het evalueren en uitvoeren van controle-activiteiten voor clouddiensten.

Objecttoelichting

Het servicemanagementbeleid geeft richting aan de wijze waarop de beheerorganisatie voor clouddiensten moet zijn ingericht en de wijze waarop deze moet functioneren. Voor de ondersteuning van de specifieke beheerprocessen bestaan richtlijnen en procedures. De beheerorganisatiestructuur geeft de samenhang van de ingerichte processen weer.


Clouddiensten bestaan uit verschillende componenten en verschillende koppelvlakken. Het is van groot belang dat clouddiensten, vanwege risicomanagement, periodiek geëvalueerd worden. De evaluatie-activiteiten dienen ondersteund te worden met evaluatierichtlijnen, procedures en instructies, ter voorkoming van het risico dat de resultaten van de controle-activiteiten niet voldoen aan de gestelde eisen.
Richtlijnen, controle-activiteiten en rapportagesDe Cloud Service Provider (CSP) heeft voor clouddiensten een servicemanagementbeleid geformuleerd met daarin richtlijnen voor de beheersingsprocessen, controle-activiteiten en rapportages.Richting geven aan de wijze waarop de beheerorganisatie voor clouddiensten moet zijn ingericht en de wijze waarop deze moet functioneren.De resultaten van controle-activiteiten uitgevoerd op clouddiensten voldoet niet aan de gestelde eisen.ControlIntentie
  • CIP-netwerk
10 januari 2022 14:52:22Servicemanagementbeleid en evaluatierichtlijn
CLD_B.08Beveiligingsprincipe2.1Actueel17 januari 202229 oktober 2021==Objectdefinitie==

Betreft een besturingsproces voor activiteiten die organisaties beschermen tegen ontwrichtende gebeurtenissen.

Objecttoelichting

Bedrijfscontinuïteitsmanagement (BCM) beschrijft de eisen voor een managementsysteem om organisaties te beschermen tegen ontwrichtende gebeurtenissen, om de kans op deze gebeurtenissen te verkleinen en om te zorgen dat een organisatie daar volledig van kan herstellen. Hierbij zal de organisatie zich onder andere richten op ontwikkeling, implementatie en onderhoud van beleid, strategieën en programma’s om de effecten van mogelijk ontwrichtende gebeurtenissen de organisatie te kunnen beheersen. In de cloud-omgeving vertrouwt de Cloud Service Consumer (CSC), de Cloud Service Provider (CSP) als derde partij. De CSP zal de CSC zekerheid moeten geven over documentatie over assets en resources, incidentmanagement, bedrijfscontinuïteit, herstelplannen, beleid, beheerprocessen en back-up-management.
Verantwoordelijkheid voor BCM, beleid en procedures, bedrijfscontinuïteitsplanning, verificatie en updaten, computercentraDe CSP behoort haar BCM-proces adequaat te hebben georganiseerd, waarbij de volgende aspecten zijn geadresseerd: verantwoordelijkheid voor BCM, beleid en procedures, bedrijfscontinuïteitsplanning, verificatie en updaten en computercentra.Het hervatten van kritieke bedrijfsprocessen binnen kritieke tijdschema’s.Het niet effectief reageren op het manifest worden van omvangrijke storingen en (on)bekende risico’s (ramp/noodsituaties). De bedreiging wordt niet zo snel als mogelijk gestopt en de gevolgschade wordt niet zo veel als mogelijk beperkt.BeleidFunctie
  • CIP-netwerk
17 januari 2022 11:14:18Bedrijfscontinuïteitsmanagement
CLD_B.10Beveiligingsprincipe2.1Actueel17 januari 202229 oktober 2021==Objectdefinitie==

Betreft een doelgerichte bundeling van kennis en vaardigheden tussen personen met taken, verantwoordelijkheden en bevoegdheden voor de relationele samenhang van beveiliging.

Objecttoelichting

De beveiligingsfunctie omvat de geformaliseerde taken en verantwoordelijkheden voor clouddiensten. Binnen de beveiligingsfunctie is geregeld dat contact wordt onderhouden met verantwoordelijken binnen de Cloud Service Consumer (CSC)-organisatie wanneer sprake is van beveiligingsincidenten.


De beveiligingsorganisatie van de Cloud Service Provider (CSP) zorgt/ziet toe op het naleven van het informatiebeveiligingsbeleid, clouddienstenbeleid en overig hieraan gerelateerd beleid. Hoewel een ‘Beveiligingsfunctie’ als zelfstandig object beschouwd kan worden, is voor de eenvoud gekozen om deze in deze BIO Thema-uitwerking te integreren met de organisatie.


Waar nodig grijpt de beveiligingsorganisatie in. De taken, verantwoordelijkheden, bevoegdheden en middelen die de beveiligingsorganisatie hiervoor heeft zijn vooraf expliciet, in relatie tot de CSC, benoemd en vastgesteld. Ook moet vooraf vaststaan hoe de rapportagelijnen tussen de beveiligingsverantwoordelijken zijn georganiseerd.
Beveiligingsfunctie, organisatorische positie, taken verantwoordelijkheden en bevoegdheden, functionarissen, rapportagelijnenDe CSP behoort een beveiligingsfunctie te hebben benoemd en een beveiligingsorganisatie te hebben ingericht, waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld.Om een gedefinieerde, goedgekeurde, begrepen en werkende structuur op te zetten voor de opzet, bestaan en werking beheer van informatiebeveiliging binnen de CSP.Het niet effectief tot uiting komen van het clouddienstenbeleid.BeleidStructuur
  • CIP-netwerk
30017 januari 2022 11:33:21Beveiligingsorganisatie clouddiensten
CLD_C.06Beveiligingsprincipe2.1Actueel10 januari 202229 oktober 2021==Objectdefinitie==

Betreft een doelgerichte bundeling van kennis en vaardigheden tussen personen met taken, verantwoordelijkheden en bevoegdheden voor het functionele en technische beheer van clouddiensten.

Objecttoelichting

Voor het adequaat beheersen en beheren van clouddiensten moet de Cloud Service Provider (CSP) een beheersingsorganisatie hebben ingericht, waarin de structuur en verantwoordelijkheden voor beheersprocessen met toereikende bevoegdheden zijn uitgedrukt en op het juiste niveau zijn gepositioneerd.


In de relatie tussen de beheersingsprocessen van de CSP en de Cloud Service Consumer (CSC) zijn ook de taken en verantwoordelijkheden tussen het functioneel en technisch beheer overeengekomen.
Processtructuur, taken, verantwoordelijkheden en bevoegdheden, functionarissenDe CSP heeft een beheersorganisatie ingericht waarin de processtructuur en de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.Het adequaat beheersen en beheren van clouddiensten.De cloudiensten verlopen niet zoals noodzakelijk is.ControlStructuur
  • CIP-netwerk
10 januari 2022 15:49:56Beheersorganisatie clouddiensten
CLD_B.03Beveiligingsprincipe2.1Actueel17 januari 202229 oktober 2021==Objectdefinitie==

Omvat het plan van handelen, inclusief voorwaarden voor de beëindiging van de dienstverlening bij een bestaande Cloud Service Provider (CSP), plus het kunnen overzetten van data en IT-diensten naar een nieuwe CSP.

Objecttoelichting

Omdat geen enkel contract voor eeuwig is, moet een Cloud Service Consumer (CSC) op een zeker moment afscheid kunnen nemen van de CSP. Als bij het afsluiten van de clouddienst geen bindende afspraken zijn gemaakt over het afscheid nemen, kan het heel lastig of kostbaar worden om data te migreren naar een andere CSP.


De organisatie moet rekening houden met een ‘vendor lock-in’. Het is daarom van belang, nog voor het aangaan van een overeenkomst met een CSP, een exit-strategie te ontwikkelen. De exit-strategie dient de voorwaarden voor mutaties van data te bevatten. Het is ook mogelijk de praktische uitwerking van de exit-strategie op te nemen in een Service Level Agreement (SLA).


Om verschillende redenen kan een CSC de dienstverlening van de CSP willen beëindigen. Enerzijds planmatig, zoals bij het einde van de contracttermijn, anderszins vanwege moverende redenen, zoals niet voldoen aan de afspraken, overname van de CSP door een andere organisatie. Het niet planmatig beëindigen is gerelateerd aan de exit-strategie, dat onderdeel is van bedrijfscontinuïteitsmanagement (BCM). Het planmatig beëindigen van de dienstverlening raakt de transitie en is onderdeel van Service Level Management (SLM).
Bepalingen, conditiesIn de clouddienstenovereenkomst tussen de CSP en CSC behoort een exit-strategie te zijn opgenomen waarbij zowel een aantal bepalingen1 over exit zijn opgenomen, als een aantal condities1 die aanleiding kunnen geven tot een exit.Het vooraf vaststellen wat de organisatie wil nastreven bij beëindiging van clouddiensten en hoe dat bereikt gaat worden.Het niet beschikken over een overeengekomen leidraad/globale manier van aanpak bij beëindiging van leverancierscontracten.BeleidIntentie
  • CIP-netwerk
17 januari 2022 10:33:41Exit-strategie clouddiensten
CLD_U.17Beveiligingsprincipe2.1Actueel29 oktober 202117 januari 2022==Objectdefinitie==

Betreft een specificatie waarin een Cloud Service Provider (CSP) de onderlinge relaties van Cloud Service Consumer (CSC’s) en de duurzame scheiding tussen de CSC’s van clouddiensten beschrijft.

Objecttoelichting

Het stelsel van op gemeenschappelijke infrastructuur aangeboden clouddiensten, waarbij CSC’s door een strikte (logisch en/of fysieke) scheiding van data en dienstverlening, elkaars gegevens nooit kunnen lezen of kunnen beïnvloeden. CSC’s mogen geen hinder ondervinden van piekbelastingen vanuit andere organisaties (andere CSC’s en/of CSP).
Versleuteld, gescheiden, gehardendeBij multi-tenancy wordt de CSC-data binnen clouddiensten, die door meerdere CSC’s worden afgenomen, in rust versleuteld en gescheiden verwerkt op gehardende (virtuele) machines.Het bieden van een multi-tenantlandschap dat in samenhang is beveiligd en inzicht geeft in de inrichting daarvan.Geen of onvoldoende sturing hebben.UitvoeringStructuur
  • CIP-netwerk
17 januari 2022 14:59:05Multi-tenantarchitectuur
CLD_U.05Beveiligingsprincipe2.1Actueel17 januari 202229 oktober 2021==Objectdefinitie==

Betreft het beschermen van de vertrouwelijkheid en integriteit van (Cloud Service Consumer) CSC-data.

Objecttoelichting

Data ‘op transport’ zijn bedrijfsgegevens die via de clouddienst, met de Cloud Service Provider (CSP) worden uitgewisseld. Data ‘in verwerking’ betreft gegevens die worden bewerkt. Data ‘in rust’ betreft gegevens die voor korte of langere tijd zijn opgeslagen (bij de CSP). Aan deze drie situaties stelt de overheid strenge eisen.


Voor het toepassen van publieke clouddiensten geldt voor de Rijkdiensten dat een Secretaris Generaal vooraf toestemming verleent voor het in de publieke cloud verwerken van Basis BeveiligingsNiveau (BBN) 2-gerubriceerde informatie. Deze eis geldt ook voor persoonsgegevens.
Cryptografische maatregelenData (‘op transport’, ‘in verwerking’ en ‘in rust’) met de classificatie BBN2 of hoger behoort te worden beschermd met cryptografische maatregelen en te voldoen aan Nederlandse wetgeving.Het zorgen dat BBN2 of hoger classificeerde data beveiligd is met cryptografische maatregelen en voldoet aan de Nederlandse wetgeving.Data met de classificatie BBN2 of hoger is onvoldoende beveiligd.UitvoeringFunctie
  • NEN-EN-ISO/IEC 27040:2016 (Storage security): 6.3.2.1
17 januari 2022 15:29:46Dataprotectie
CLD_U.11Beveiligingsprincipe2.1Actueel20 januari 202229 oktober 2021==Objectdefinitie==

Omvat technische functies voor het versleutelen en ontsleutelen van data, het maken van elektronische handtekeningen en het kunnen toepassen van versterkte authenticatie.

Objecttoelichting

De technische functies voor versleuteling en ontsleuteling van data, elektronische handtekening en versterkte authenticatie, al dan niet via Public-Key-Infrastructure (PKI)-technologie. Sleutelbeheer is een onderdeel van cryptoservices. Desgewenst kan de Cloud Service Consumer (CSC) in haar Programma van Eisen (PvE), de crypto-eisen van het Nationaal Bureau Verbindingsbeveiliging (NBV) specificeren.


NB: Er volgt een object ‘Cryptobeleid’ waarin beleidsmaatregelen over cryptoservices is opgenomen AP WTJV.
Beleid, cryptografische maatregelen, versleuteldGevoelige data van de CSC behoort conform het overeengekomen beleid inzake cryptografische maatregelen tijdens transport via netwerken en bij opslag bij CSP te zijn versleuteld.Het beschermen van de beschikbaarheid, integriteit en vertrouwelijkheid van gevoelige data tijdens transport via netwerken en opslag.Gegevens zijn tijdens transport via netwerken en opslag te benaderen voor onbevoegden.UitvoeringGedrag
  • CIP-netwerk
20 januari 2022 13:47:20Cryptoservices
CLD_U.03Beveiligingsprincipe2.1Actueel17 januari 202229 oktober 2021==Objectdefinitie==

Omvat maatregelen, die tijdens normaal bedrijf en bij voorkomende calamiteiten, binnen de overeengekomen maximale uitvalduur, zorgen voor het herstel van de data en de dienstverlening, waarbij dataverlies wordt voorkomen.

Objecttoelichting

Omdat de Cloud Service Consumer (CSC) voor haar bedrijfsvoering sterk afhankelijk is van de Cloud Service Provider (CSP) en van externe factoren zijn bedrijfscontinuïteitsservices van essentieel belang. Bedrijfscontinuïteitsservices omvatten het pakket van maatregelen, dat zowel voor normaal bedrijf (met Quality of Service (QoS)) als voor situaties van calamiteiten, zoals natuurrampen, binnen de overeengekomen maximale uitvalsduur Recovery Time Objective (RTO), zorgt voor het herstel van data en de kritische dienstverlening, waarbij dataverlies beperkt blijft tot het overeengekomen maximale dataverlies. Bekende continuïteitsmaatregelen zijn redundantie, disaster recovery en het periodiek aantonen dat herstelfuncties werken.
Redundantie, continuïteitseisenInformatie verwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan continuïteitseisen te voldoen.Zorgen tijdens normaal bedrijf en bij voorkomende calamiteiten voor het herstel van de data en de dienstverlening binnen de overeengekomen maximale uitvalsduur, waarbij dataverlies wordt voorkomen.Data in de cloud is langer dan de overeengekomen maximale uitvalsduur niet beschikbaar.UitvoeringFunctie
  • BIO (Baseline Informatiebeveiliging Overheid): 17.2.1
17 januari 2022 15:22:42Bedrijfscontinuïteitsservices
CLD_B.11Beveiligingsprincipe2.1Actueel20 januari 202229 oktober 2021==Objectdefinitie==

Betreft een modelmatige beschrijving van een technische en organisatorische samenhang, waarin de Cloud Service Provider (CSP) de relaties tussen de onderdelen van de clouddiensten en de ondersteuning van de Cloud Service Cosnumer (CSC) vastlegt.

Objecttoelichting

In de clouddienstenarchitectuur legt de CSP vast hoe de IT-functionaliteiten aan elkaar gerelateerd zijn en hoe zij onderling samenhangen. Uit de clouddienstenarchitectuur wordt duidelijk hoe IT-functionaliteiten de bedrijfsprocessen van de CSC ondersteunen.
Raamwerk, samenhang en afhankelijkhedenDe CSP heeft een actuele architectuur vastgelegd die voorziet in een raamwerk voor de onderlinge samenhang en afhankelijkheden van de IT-functionaliteiten.Het bieden van een clouddienstenlandschap en daarmee richting geven aan de clouddienst en een betrouwbare werking van de clouddienst garanderen.Geen of onvoldoende sturing hebben op de clouddiensten. De werking van de clouddiensten is onbetrouwbaar.BeleidStructuur
  • CIP-netwerk
30020 januari 2022 13:14:25Clouddienstenarchitectuur
CLD_B.01Beveiligingsprincipe2.1Actueel22 november 202129 oktober 2021==Objectdefinitie==

Omvat de geldende nationale en internationale wetten en regelgeving die van toepassing is op clouddiensten.

Objecttoelichting

Nationale en internationale wet- en regelgeving die van toepassing is op clouddiensten, zoals vooral de Algemene Verordening Gegevensbescherming (AVG), heeft betrekking op de te nemen organisatorische en technische maatregelen, zoals bewustwording, mensen en fysieke middelen. De Cloud Service Provider (CSP) zal deze vertalen naar specifieke eisen voor cloud-componenten.
Wettelijke, statutaire en regelgevende eisencontractuele eisenaanpakAlle relevante wettelijke, statutaire, regelgevende, contractuele eisen en de aanpak van de CSP om aan deze eisen te voldoen behoren voor elke clouddienst en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.Het voorkomen van schendingen van enige wetgeving, wettelijke en regelgevende of contractuele verplichtingen en beveiligingseisen.Schade door wettelijke aansprakelijkheid.BeleidIntentie
  • BIO (Baseline Informatiebeveiliging Overheid): 18.1.1
6 december 2021 11:07:32Wet- en regelgeving Clouddiensten
CLD_B.09Beveiligingsprincipe2.1Actueel17 januari 202229 oktober 2021==Objectdefinitie==

Privacy betreft de persoonlijke vrijheid, het recht om alleen gelaten te worden. Bescherming persoonsgegevens betreft het proces van de bescherming van deze gegevens.

Objecttoelichting

De data waar dreigingen en privacybeschermende regels aan gerelateerd zijn. Zowel data- als privacybescherming moeten voldoen aan door de wettelijke en door de Cloud Service Consumer (CSC) gestelde eisen aan de beveiliging. Data en privacy omvat de inventarisatie en classificatie van gegevens volgens een specifiek labelingsbeleid. Databescherming vindt plaats in drie toestanden van data: in rust, in verwerking en op transport. Data in apparaten kan worden beheerst door te richten op drie momenten: verwijdering, vervoer en verplaatsing. Data kan gerelateerd worden aan bedrijfsgegevens en persoonsgegevens. Ter bescherming van persoonsgegevens worden de noodzakelijke maatregelen getroffen. Beveiliging van data kan vanuit verschillende aspecten worden benaderd. In de afbeelding 'Data in verschillende bedrijfstoestanden' worden de voornaamste aspecten benoemd.


”Thema Clouddiensten - Data in verschillende bedrijfstoestanden”
Data in verschillende bedrijfstoestanden
Beveiligingsaspecten en stadia, toegang en privacy, classificatie/labelen, eigenaarschap en locatieDe Cloud Service Provider (CSP) behoort, ter bescherming van bedrijfs- en persoonlijke data, beveiligingsmaatregelen te hebben getroffen vanuit verschillende dimensies: beveiligingsaspecten en stadia, toegang en privacy, classificatie/labelen, eigenaarschap en locatie.Het verkrijgen van een gedegen set aan beveiligingsmaatregelen.De bedrijfs- en persoonlijke data wordt onderbeveiligd.BeleidGedrag
  • Focus Group on Cloud Computing Technical Report Part 5 - Cloud security: 8.5
17 januari 2022 11:23:10Privacy en bescherming persoonsgegevens clouddiensten
CLD_U.10Beveiligingsprincipe2.1Actueel17 januari 202229 oktober 2021==Objectdefinitie==

Omvat processen en middelen voor het toekennen en bewaken van toegangsrechten tot Cloud Service Consumer (CSC)-data en bedrijfsprocessen.

Objecttoelichting

Toegang tot data en bedrijfsprocessen van alle mogelijke gebruikers zowel de CSC als de Cloud Service Provider (CSP) wordt uitsluitend met identificatie, authenticatie en autorisatie verstrekt. NB De toegangsverlening heeft een directe relatie met het ‘Bring Your Own Device’ (BYOD)-beleid van een organisatie.
Gebruikers, bevoegdGebruikers behoren alleen toegang te krijgen tot IT-diensten en data waarvoor zij specifiek bevoegd zijn.Onbevoegde toegang tot bedrijfsprocessen/data in clouddiensten voorkomen.Misbruik en verlies van (gevoelige) gegevens.UitvoeringGedrag
  • BIO (Baseline Informatiebeveiliging Overheid): 9.1.2
17 januari 2022 16:00:51Toegang IT-diensten en data
CLD_VWHoofdstuk normenkader2.1Actueel25 juli 202229 oktober 2021Deze BIO Thema-uitwerking bevat een referentiekader voor de BIO Thema-uitwerking Clouddiensten, door het CIP (Centrum Informatiebeveiliging en Privacybescherming) opgesteld om overheidsorganisaties een beeld te geven van de meest relevante onderwerpen bij het verwerven van veilige clouddiensten. Deze thema-uitwerking is bedoeld als handreiking, gerelateerd aan de toepassing van de Baseline Informatiebeveiliging Overheid (BIO) en verschaft een overzicht van de uitwerking van clouddienstenobjecten vanuit de optiek van de Cloud Service Consumer (CSC). Voor de beperking van de omvang van deze thema-uitwerking worden de geïdentificeerde objecten gerelateerd aan algemene clouddiensten. Deze thema-uitwerkingt doet geen uitspraken over de vraag of cloud ingezet mag worden. Die keuze is onderworpen aan het vigerend beleid. Bij een keuze voor cloud, kan deze thema-uitwerkingen worden gehanteerd bij de inrichting.


De BIO is verplicht verklaard voor de overheidspartijen. Vanwege de snelle ontwikkelingen van clouddiensten hebben overheidspartijen een grote behoefte aan overzicht en inzicht in de meest cruciale componenten die bij de verwerving van clouddiensten aandacht behoeven. Temeer omdat specifieke op clouddiensten gerichte beveiligingsobjecten ontbreken in de BIO. Dat komt omdat de BIO gebaseerd is op een generieke baseline NEN-EN-ISO/IEC 27002:2017 (hierna genoemd ISO 27002). Aanvullend op deze ISO-norm zijn door NEN-EN-ISO/IEC een aantal implementatiekaders opgesteld en bestaan er kaders zoals het Cybersecurity Framework (CSW) van National Institute of Standards and Technology (NIST) en de Cloud Control Matrix (CCM) van Cloud Security Alliance (CSA), gericht op de beveiliging van clouddiensten. Ook de The Standard of Good Practice (SoGP) 2018, standaarden van de Bundesamt für Sicherheit in der Informationstechnik (BSI), International Telecommunication Union (ITU) en de ICT-Beveiligingsrichtlijnen voor Webapplicaties van het Nationaal Cyber Security Centrum (NCSC) bevatten relevante controls en maatregelen voor clouddiensten. Een probleem voor overheidspartijen is dat een handig overzicht ontbreekt voor een samenvatting van alle relevante zaken over clouddiensten, eenduidig gerelateerd aan de BIO. Een veel gehoorde uitspraak is: ‘We zien door de bomen het bos niet meer.’.


De schrijfgroep heeft diverse workshops georganiseerd waarin verschillende overheidspartijen hebben geparticipeerd. Deze partijen hebben hun beleidsdocumenten ter beschikking gesteld en hun visie, risico’s en problematiek gedeeld waarmee ze in de praktijk geconfronteerd worden. Met deze informatie en risico’s verbonden aan clouddiensten heeft de schijfgroep deze thema-uitwerking opgesteld en ter review aan de overheidspartijen aangeboden. Versie 1.1 bevat een compleet beeld van onderwerpen die voor informatieveiligheid en privacy de aandacht vereisen bij de verwerving van clouddiensten. De privacyaspecten zijn in de handreiking Cloudcomputing en Privacy van de Informatiebeveiligingsdienst (IBD) uitgewerkt.


Voor de structurering van deze thema-uitwerking is dezelfde systematiek gekozen als bij de overige BIO Thema-uitwerkingen. De beschrijving van de systematiek is in deze thema-uitwerking kort weergegeven.


Deze thema-uitwerking beperkt zich tot die zaken, die vanuit de CSC richting de Cloud Service Provider (CSP) van belang zijn, inclusief de koppelvlakken tussen de CSC en de CSP. Uiteraard speelt de CSC in de informatieketen een belangrijke rol en moet zij haar IT-huishouding op orde hebben. Pas dan kan sprake zijn van een goede samenwerking tussen de CSC en de CSP. Dit gegeven is een belangrijk uitgangspunt voor stakeholders binnen de overheidspartijen.


Er zijn veel inhoudelijke suggesties en reacties ontvangen. De intentie van deze thema-uitwerking is de lezer verder te helpen bij vraagstukken over clouddiensten. Daar waar verbeterd kan worden, kan deze thema-uitwerking verrijkt worden met aangeleverde teksten.
25 juli 2022 13:32:54BIO Thema Clouddiensten - Voorwoord
CLD_TOEL BHoofdstuk normenkader1.0Actueel9 augustus 202126 februari 2020Onderstaande lijst met brondocumenten verwijst naar voor clouddiensten relevante documenten. Hiervoor geldt:
  • Een deel van de documenten kan via Rijksweb, interne overheidswebsites en/of publieke zoekmachines gevonden worden.
  • Op NEN-ISO/IEC documenten rusten licentierechten. Voor de overheid zijn die afgekocht. Log hiervoor in via NEN-connect.
  • De ISF-documenten, zoals onder andere de SoGP zijn beschikbaar voor leden van het Information Security Forum (ISF). De gebruikersorganisatie moet lid zijn van het ISF.
  • De Duitse BSI IT-Grundschutz-, State of the art in IT security-, NORA-, NIST- en CSA-documenten zijn vrij beschikbaar via internet.

Nationale kaders en practices

Eigenaar Documentnaam Referentie Versie
Algemene Inlichtingen en Veiligheids Dienst Publieke clouddiensten en gerubriceerde gegevens 9 sep 2019 -
Ministerie van BzK Verkenning Cloudbeleid voor de Nederlandse Rijksdienst
=Concept voor brede discussie=
16 sep 2019 -
Informatie Beveiligings Dienst (IBD) Handreiking Cloudcomputing in Privacy IBD 2019 2.0
Informatie Beveiligings Dienst (IBD) Handreiking Impact Cloudcomputing IBD 2019 2.0
Informatie Beveiligings Dienst (IBD) Handreiking Inkoop Clouddiensten IBD 2019 2.0
Overzicht Nationale kaders en practices

Nationale standaarden

Eigenaar Documentnaam Referentie Versie
NCSC
Nationaal Cyber Security Centrum (Ministerie van Justitie en Veiligheid) www.ncsc.nl
Meerdere documenten, zoals de NCSC Webrichtlijnen www.ncsc.nl/documenten NCSC
NEN Normalisatie En Normen www.nen.nl NEN-EN-ISO/IEC 27040:2016 en Information technology - Security techniques - Storage security www.nen.nl/NEN-Shop-2/Standard/NENENISOIEC-270402016-en.htm ISO27040 2016
ICTU www.ictu.nl NORA Nederlandse Overheids Referentie Architectuur NORA online NORA beveiligingspatronen Beveiligingspatronen NORA
W.N.B. Tewarie, M.M.V.E. Ter Meer, E.R. Nieuwland SIVA, SIVA - Methodiek voor de ontwikkeling van Auditreferentiekaders, VU University Press, ISBN978 90 8659 670 6 2014
Overzicht nationale standaarden

Internationale standaarden

Eigenaar Documentnaam Referentie Versie
BSI
Bundesamt für Sicherheit in der Informationstechnik www.bsi.bund.de/DE/Home/home_node.html
Cloud ComputingCompliance Controls Catalogue (C5)
Criteria to assess the information security of cloud services
www.bsi.bund.de/C5
BSI C5 Feb. 2016
IT-Grundschutz
BSI Standard 200-1 Information Security management System (ISMS)
BSI Standard 200-2 IT Grundschutz Methodology
BSI-Standard 200-3 Risk Analysis based on IT-Grundschutz
BSI Standard 200-4 Business Continuity Management (BCM)
www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/itgrundschutzkataloge_node.html
BSI ITG 2013
CSA
Cloud Security Alliance
https://cloudsecurityalliance.org
Cloud Controls Matrix (CCM)
NB: laatste versie is 3.0.1
CSA CCM 1.01
Okt. 2010
ISA
International Society of Automation
www.isa.org
ISA-62443-2-1-2009
Security for Industrial Automation and Control Systems: Establishing anIndustrial Automation and Control Systems Security Program
www.isa.org/templates/one-column.aspx?pageid=111294&productId=116731
ISA-62443-2-1 2009
ISO
International Organization for Standardization
www.iso.org/home.html
ISO/IEC 17788:2014
Information technology - Cloud computing - Overview and vocabulary
www.iso.org/standard/60544.html
ISO17788 2014
ISO/IEC 17789:2014
Information technology - Cloud computing - Reference architecture
www.iso.org/standard/60545.html
ISO17789 2014
ISO/IEC 17826:2016
Information technology - Cloud Data Management Interface (CDMI)
www.iso.org/standard/70226.html
ISO17826 2016
ISO/IEC 18033-1:2015
Information technology - Security techniques - Encryption algorithms - Part 1: General
www.iso.org/standard/54530.html
ISO18033-1 2015
ISO/IEC 18033-2:2006
Information technology - Security techniques - Encryption algorithms - Part 2: Asymmetric ciphers
www.iso.org/standard/37971.html
ISO18033-2 2006
ISO/IEC 19941:2017
Information technology - Cloud computing - Interoperability and portability
www.iso.org/standard/66639.html
ISO19941 2017
ISO/IEC 27003:2017
Information technology - Security techniques - Information securitymanagement systems – Guidance
www.iso.org/standard/63417.html
ISO27003 2017
ISO/IEC 27005:2018
Information technology - Security techniques - Information security riskmanagement
www.iso.org/standard/75281.html
ISO27005 2011
ISO/IEC 27017:2015
Information technology - Security techniques - Code of practice forinformation security controls based on ISO/IEC 27002 for cloud services
www.iso.org/standard/43757.html
ISO27017 2015
ISO/IEC 27018:2019
Information technology — Security techniques - Code of practice forprotection of personally identifiable information (PII) in public cloud sacting as PII processors
www.iso.org/standard/76559.html
ISO27018 2019
ISO/IEC27036-1:2014
Information technology - Security techniques - Information security forsupplier relationships - Part 1: Overview and concepts
www.iso.org/standard/59648.html
ISO27036-1 2014
ISF
Information Security Forum
www.securityforum.org
Standard of GoodPractice
Standard of Good Practice for Information Security 2018
www.securityforum.org/uploads/2016/07/SoGP-2016-Exec-Summary-FINAL-260716.pdf
SoGP 2017
itSMF
https://itsmfuk.site-ym.com
ITIL 3
ITIL 3 Foundation Handbook (print version - pack of 10)
https://itsmfuk.site-ym.com/store/ViewProduct.aspx?id=13263525
ITIL 3 3
ITU
International Telecommunication Union
www.itu.in
ITU-T FG-Cloud TR
Focus Group on Cloud Computing (FG Cloud Technical Report)
Part 1: Introduction to the cloud ecosystem: definitions, taxonomies, usecases and highlevel requirement
www.itu.int/dms_pub/itu-t/opb/fg/T-FG-CLOUD-2012-P1-PDF-E.pdf
Part 2: Functional requirements and referencearchitecture
www.itu.int/dms_pub/itu-t/opb/fg/T-FG-CLOUD-2012-P2-PDF-E.pdf
Part 3: Requirements and framework architecture ofcloud infrastructure
www.itu.int/dms_pub/itu-t/opb/fg/T-FG-CLOUD-2012-P3-PDF-E.pdf
Part 4: Cloud Resource Management Gap Analysis
www.itu.int/dms_pub/itu-t/opb/fg/T-FG-CLOUD-2012-P4-PDF-E.pdf
Part 5: Cloud security
www.itu.int/dms_pub/itu-t/opb/fg/T-FG-CLOUD-2012-P5-PDF-E.pdf
Part 6: Overview of SDOs involved in cloud computing
www.itu.int/dms_pub/itu-t/opb/fg/T-FG-CLOUD-2012-P6-PDF-E.pdf
Part 7: Cloud computing benefits fromtelecommunication and ICT perspective
www.itu.int/dms_pub/itu-t/opb/fg/T-FG-CLOUD-2012-P7-PDF-E.pdf
ITU-T FG Cloud Px 1.0
2012
NIST
National Institute of Standards and Technology (U.S. Department of Commerce)
www.nist.gov
Meerdere standards
www.nist.gov/services-resources/standards-and-measurements
NIST
Teletrust
(Bundesverband IT-Sicherheit e.V)
www.teletrust.de
Richtlijn State of the art in IT Security (Stand der Technik in der IT-Sicherheit)
https://www.teletrust.de/fileadmin/docs/fachgruppen/2019-06_TeleTrusT_Richtlijn_State_of_the_art_in_IT_security_NLD.pdf
SotA 2019
Overzicht internationale standaarden
9 augustus 2021 11:29:35BIO Thema Clouddiensten - Bronverwijzing
CLD_TOEL CUHoofdstuk normenkader2.1Actueel6 januari 202229 oktober 2021Hieronder volgt per invalshoek een toelichting op het uitvoeringsdomein:
  • Intentie, In het uitvoeringsdomein zal de organisatie onder andere haar beleid vertalen naar richtlijnen voor het uitvoeren van een risicoanalyse en de implementatie vertalen naar procedures.
  • Functie, In dit domein worden voor clouddiensten organisatorische en technisch georiënteerde maatregelen getroffen.
  • Gedrag, De clouddiensten kennen een aantal specifieke elementen, zoals toegang en technisch georiënteerde componenten.
  • Structuur, De clouddiensten moeten een goed overzicht bieden via een architectuur.


Afbeelding 'Dreigingen/kwetsbaarheden van uitvoeringsobjecten' toont de dreigingen/kwetsbaarheden van de genoemde uitvoeringsobjecten.


”De dreigingen en kwetsbaarheden van de uitvoeringsprincipes”
Dreigingen/kwetsbaarheden van uitvoeringsobjecten


Dreigingen/kwetsbaarheden cloud-uitvoeringsobjecten

Het uitvoeringsdomein is op dezelfde wijze geanalyseerd als vermeld bij het Cloudbeveiligingsobjecten binnen het beleidsdomein. Ook hier zijn de vermelde dreigingen/kwetsbaarheden en risico’s niet uitputtend benoemd. Afbeelding 'Uitvoeringsobjecten gestructureerd met de SIVA-methodiek' geeft voor het uitvoeringdomein en dankzijde vermelde dreigingen/kwetsbaarheden en risico’s de geïdentificeerde beveiligingsobjecten voor clouddiensten weer.


”De Uitvoeringsobjecten gestructureerd conform het SIVA-raamwerk”
Uitvoeringsobjecten gestructureerd met de SIVA-methodiek


Ga terug naar Dreigingen en/of kwetsbaarheden
6 januari 2022 14:21:37BIO Thema Clouddiensten - Toelichting objecten in het uitvoeringsdomein
CLD_TOEL SABBHoofdstuk normenkader2.1Actueel17 februari 202229 oktober 2021In 2019 is de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) om een standpunt gevraagd over het gebruik van publieke clouddiensten voor gerubriceerde gegevens of vitale overheidsprocessen, waarvoor weerstand tegen statelijke actoren noodzakelijk is. Tevens heeft het Ministerie van Binnenlandse Zaken en Koninkrijkrelaties (BZK) een beleidsverkenning gedaan. De AIVD maakt overigens in haar standpunt geen onderscheid tussen Rijksdiensten en de andere overheden.


Hieronder volgen enkele citaten die de kern van het AIVD-standpunt weergeven, waarop ook de beleidsverkenning van BZK is gebaseerd.

NBV-standpunt Publieke Clouddiensten (citaten uit de brief AIVD, 09/09/2019)

Publieke clouddiensten bieden in de huidige situatie, geen controleerbaar afdoende weerstand tegen statelijke actoren omdat er nu nog onvoldoende zekerheid kan worden verkregen:

  • dat de overheidsgegevens en -processen technisch en procedureel voldoende zijn afgeschermd tegen de clouddienstverlener, zijn onderaannemers en zijn medewerkers;
  • dat de clouddienstverlener spionage-en sabotage-aanvallen van statelijke actoren betrouwbaar preventief kan afweren;
  • dat de clouddienstverlener spionage en sabotage aanvallen van statelijke actoren betrouwbaar kan detecteren én hierop adequaat zal reageren;
  • dat voldoende controle en toezicht mogelijk is op publieke clouddienstverleners.


Daarbij gebruiken publieke clouddiensten vaak het internet, zodat de toegang en beschikbaarheid extra zorg vragen. Kortom, op dit moment is er onvoldoende zekerheid dat publieke clouddienstverleners kunnen voldoen aan het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIR-BI) en de Baseline Informatiebeveiliging Overheid (BIO). Dit Nationaal Bureau Verbindingsbeveiliging (NBV)-standpunt is gebaseerd op de huidige stand van cloudtechnologie, statelijke cyberdreiging, nationale en internationale regelgeving en contractmogelijkheden. De ontwikkelingen op dit gebied gaan snel en het zal nodig zijn om dit standpunt periodiek, bijvoorbeeld jaarlijks, te heroverwegen.


Conclusie

In de huidige situatie is gebruik van publieke clouddiensten daarom niet geschikt voor gerubriceerde nationale informatie (Dep.V tot en met Stg.ZG), gerubriceerde EU- en NAVO-informatie en voor vitale overheidsprocessen waarvoor betrouwbare weerstand tegen statelijke actoren nodig is. Het gebruik van publieke clouddiensten is daarom ook ongeschikt voor Dep.V gerubriceerde informatie waarvoor betrouwbare detectie van statelijke actoren nodig is.


Als via risicoanalyse is vastgesteld dat geen weerstand tegen en geen detectie van statelijke actoren nodig is, dan kunnen publieke clouddiensten gebruikt worden. (Einde citaten uit de AIVD-brief.)


Verkenning Cloudbeleid voor Nederlandse Rijksdiensten (citaten uit brief aan CIO-Rijk, 16/09/2019)

Concept voor brede discussie

Dit document bevat een verkenning voor Cloudbeleid van de Nederlandse Rijksdienst. Doel van deze verkenning is om richting te geven aan het gebruik en verdere ontwikkeling van clouddiensten door departementen, en om ambities te formuleren, waarbij rekening wordt gehouden inzichten van de AIVD voor het omgaan met dreigingen door Advanced Persistent Threats (APT’s) zoals statelijke actoren. Uitgangspunt is dat clouddiensten moeten voldoen aan de voorwaarden van het algemeen beleid. Deze voorwaarden zijn in grote lijnen beschreven in de strategische i‐agenda voor de Rijksdienst 2019 ‐2021.


Overwegingen en beleidsvoornemen

Het cloudbeleid dient duidelijkheid te scheppen hoe veilig gebruik gemaakt kan worden van Private, Hybride en Public Clouddiensten door overheidspartijen. Omdat de Baseline Informatiebeveiliging Rijksdienst (BIR) inmiddels, formeel, in de Baseline Informatiebeveiliging Overheid (BIO) is overgegaan, wordt in het vervolg van dit document gesproken over BIO-BBN niveaus terwijl de focus van dit document (thans) de Rijkdienst betreft.


In dit hoofdstuk zijn in het kader van risicomanagement de mogelijke beleidslijnen uitgewerkt rond het toepassen van ‘Basis Beveiligingsniveau’ (BBN) 1, 2 en 3 voor diverse Cloudimplementatie-scenario’s. De BIR/BIO bepaalt op basis van eisen voor vertrouwelijkheid. Het onderscheid in drie BBN’s voorkomt dat voor eenvoudige systemen zonder vertrouwelijke informatie of zonder eigen voor hoge beschikbaarheid teveel administratieve last wordt opgeroepen. Terwijl de BIO zich met name richt op vertrouwelijkheid van gegevens, wordt in Nederland, gedreven door internationale ontwikkelingen, ook meer aandacht gevraagd voor de beschikbaarheid van ‘vitale systemen en processen’. In beide toepassingen is risicomanagement met een proportionele set aan maatregelen een logische aanpak.


Risicomanagement betreft het inzichtelijk en systematisch inventariseren, beoordelen en – door het treffen van maatregelen – beheersbaar maken van risico’s en kansen, die het bereiken van de doelstellingen van de organisatie bedreigen dan wel bevorderen, op een zodanige wijze dat verantwoording kan worden afgelegd over de gemaakte keuzes.


Uitgangspunten

Voor alle toepassingen geldt, dat zal moeten zijn voldaan aan geldende kaders. Versie 1 okt 2019, geeft aan dat aanpassingen worden meegenomen, zodra nieuwe inzichten daar aanleiding toe geven. Het streven is om deze jaarlijks te herzien, of zoveel eerder als ontwikkelingen daar aanleiding toe geven.


Met de voorgaande overwegingen en de input van veiligheidsexperts zijn de volgende beleidsvoornemens tot stand gekomen: Voor alle niveaus (zoals in de matrix geschetst) geldt de voorwaarde: er is een samenhangende risicoanalyse uitgevoerd, waarin rekening is gehouden met eisen voor vitale en kritieke processen en gevoelige data, en deze is opgevolgd. De restrisico’s zijn of gemitigeerd of zijn geaccepteerd door de eigenaar.

Conclusie: One Cloud doesn’t fit All.


Voorgenomen Cloudbeleid 1 oktober 2019 in matrix-overzicht


Betekenis van de nummers 1, 2, 3 en 4 in de matrix:

  1. Er is voldaan aan:
    1. Er moet een samenhangende risicoanalyse voor vitale en kritieke processen en gevoelige data zijn uitgevoerd en de resultaten daarvan zijn opgevolgd.
    2. De uitkomsten zijn vastgelegd en (auditeerbaar) gecommuniceerd.
    3. De restrisico’s zijn door de systeem‐ of proces‐eigenaar geaccepteerd:
      1. Voor departementale processen: met input van de Chief Information Security Officer (CISO).
      2. Voor interdepartementale processen: met input van de CISO‐Rijk
  2. Er dienen passende voorzieningen beschikbaar te zijn om activiteiten van APT's zoals statelijke actoren te kunnen signaleren en daarop in te grijpen. Dit betreft een set aan detectie voorzieningen en maatregelen, waarvan expert diensten (AIVD, Militaire Inlichtingen- en Veiligheidsdienst (MIVD) of Nationaal Cyber Security Centrum (NCSC)) hebben aangegeven dat deze zinvol zijn te opzicht van het risico dat het departement met de voorziening of proces loopt.
  3. De verwerking van de (Dep.V) gerubriceerde BIO‐BBN2 gegevens is vóóraf door de Secretaris Generaal (SG) goedgekeurd.
  4. Voor de goedkeuring van de SG, dient het expert advies van de AIVD over Clouddiensten (zie hierboven) expliciet te worden meegewogen. Daarin staat vermeld (citaat) “Het gebruik van publieke clouddiensten is daarom ook ongeschikt voor Dep.V gerubriceerde informatie waarvoor betrouwbare detectie van statelijke actoren nodig is” (einde citaten)
17 februari 2022 08:30:13BIO Thema Clouddiensten - Samenvatting AIVD-standpunt en beleidsverkenning BZK
CLD_INL RCHoofdstuk normenkader2.1Actueel20 januari 202229 oktober 2021Relevante risico’s verbonden aan clouddiensten kunnen ondergebracht worden in 2 risicogroepen:
  • Data, Gegevens van de burger of de Cloud Service Consumer (CSC) zijn verloren geraakt of misbruikt.
  • IT-dienstverlening, De betrouwbare dienstverlening aan de burger en CSC is in gevaar.

  • Risico’s worden bepaald door dreigingen en kwetsbaarheden en de kans dat daardoor schade ontstaat. Zowel dreigingen als kwetsbaarheden zijn hieronder concreet gemaakt. De factor ‘kans’ is niet berekenbaar voor clouddiensten, maar kan ingeschat worden door onderzoek vanuit de eigen context van de CSC en de zich ontwikkelende markt van Cloud Service Providers (CSP's).

    Dreigingen/kwetsbaarheden

    NB Aandachtspunten voor consequenties is overgenomen van Weolcan: https://blog.weolcan.eu/wat-is-een-cloud-exit-strategie-precies-en-hoe-voer-je-het-uit

    De vakliteratuur noemt verschillende dreigingen/kwetsbaarheden waarmee een CSC rekening dient te houden bij het verwerven van clouddiensten. Na de verwerving kan de CSC geconfronteerd worden met issues over contracten en prestaties van de clouddienst en over ondersteuning door en de relatie met de CSP. Bij het identificeren van objecten voor clouddiensten zijn beide hiervoor genoemde risicogroepen als invalshoek gebruikt. Onderstaande tabel en afbeelding geven een overzicht van de belangrijkste kwetsbaarheden en voorkomende consequenties. Toelichting objecten in het beleidsdomein, Toelichting objecten in het uitvoeringsdomein en Toelichting objecten in het control-domein bevatten detailuitwerkingen van de dreigingen. De tabel en afbeelding zijn beperkt tot de set van Cloud Security Alliance (CSA) en Greer and Jackson.


    Nr. Cloud Computing Vulnerabilities CSA en Greerand Jackson, 2017
    1 Data Data breaches Dataverstoringen
    2 Data Loss or data leakage Dataverlies of datalekken
    3 Clouddiensten Account or service traffic hijacking Kapen van account of serviceverkeer
    4 Denial of Service Denial of Service
    5 Malicious insiders Kwaadwillende insiders
    6 Abuse of nefarious use of cloud computing Misbruik of misdadig gebruik van cloudcomputing
    7 Insufficient due diligence Onvoldoende due diligence
    8 Shared technology vulnerabilities Gedeelde technologiekwetsbaarheden
    9 Insecure interfaces and API’s Onveilige interfaces en API’s
    10 Unknown risk profile Onbekend risicoprofiel
    11 Hardware failure Hardware falen
    12 Nature disasters Natuurlijke rampen
    13 Closure of cloud service Afsluiten van de cloud dienst
    14 Cloud related malware Cloud gerelateerde malware
    15 Inadequate infrastructure design and planning Inadequateinfrastructuur ontwerp en planning
    Cloud Computing Vulnerabilities CSA en Greer and Jackson, 2017


    ”Cloud gerelateerde dreigingen en kwetsbaarheden”
    Cloud gerelateerde dreigingen en kwetsbaarheden


    CSC-georiënteerde aandachtspunten

    De schrijfgroep heeft over clouddiensten diverse gesprekken gevoerd met CSC’s en CSP’s. Ook heeft de schrijfgroep verschillende beleidsdocumenten ontvangen van CSC’s. Bij de besprekingen en het bestuderen van de documenten staan 2 vragen centraal:

    1. Welke issues voor clouddiensten spelen een rol bij de CSC’s?
    2. Waar maken CSC’s zich de meeste zorgen over bij het verwerven van clouddiensten?


    De geïdentificeerde issues zijn globaal onderverdeeld in een aantal generieke onderwerpen: beleid en strategie, processen/functies (technische en organisatorische), interacties, infrastructuur en structuur (architectuur en organisatiestructuur). Onderstaande afbeelding geeft een overzicht van de ingedeelde onderwerpen.


    ”CSC georiënteerde aandachtspunten”
    CSC georiënteerde aandachtspunten

    Beveiligingsobjecten voor clouddiensten

    Objecten worden geïdentificeerd met onderzoeksvragen en risicogebieden. De objecten hebben tot doel risico’s te mitigeren en zijn afgeleid van de algemene beveiligingseisen: beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid die vervolgens zijn ingedeeld in het beleids-, uitvoerings- en control-domein. De vragen die vanuit optiek van deze domein hierbij spelen zijn:

    • Welke randvoorwaardelijke elementen spelen een rol bij de inrichting van de clouddiensten en wat is de consequentie van het ontbreken van een of meer van deze elementen?
    • Welke elementen spelen een rol bij de inrichting van de clouddiensten en wat is de consequentie van het ontbreken van één of meer van deze elementen?
    • Welke elementen spelen een rol bij de beheersing van de clouddiensten en wat is de consequentie van het ontbreken van één of meer van deze elementen?


    Uit de contextuele analyse blijkt dat verschillende onderwerpen niet in de Baseline Informatiebeveiliging Overheid (BIO) voorkomen. Voor de onderwerpen, waarvoor de BIO geen control heeft geformuleerd, zijn controls uit andere baselines geadopteerd.
    20 januari 2022 13:57:35BIO Thema Clouddiensten - Risico's in relatie tot clouddiensten
    CLD_TOEL BRIHoofdstuk normenkader2.1Actueel6 december 202129 oktober 2021De Beslisboom in afbeelding 'Beslisboom voor risicobeoordeling' ondersteunt stakeholders voor cloud-services bij het nemen van verantwoorde beslissingen voor het onderbrengen van gegevens en/of bedrijfsprocessen in de publieke cloud, private cloud, als uitbestede IT of in het eigen rekencentrum ‘on premise’. De beslisboom is uitgewerkt in relatie tot de risicoafweging.


    ”Beslisboom voor risicobeoordeling”
    Beslisboom voor risicobeoordeling


    Belangrijk daarbij is om de context van de overheid in de overweging mee te nemen. Overheden worden geacht om verantwoord om te gaan met gevoelige gegevens van burgers en bedrijven, maar ook met gegevens van eigen medewerkers. Zie voor de vraag die in stap 1 gesteld wordt over gegevens BIO Thema Clouddiensten - Samenvatting AIVD-standpunt en beleidsverkenning BZK.


    De beslisboom wordt gebruikt als zelf-assessment en toetst achtereenvolgens op:

    1. Afhankelijkheid en kwetsbaarheid, Gaat het om een primair bedrijfsproces met gevoelige gegevens van burgers en/of bedrijven, waarbij (bijzondere) persoonsgegevens vanwege de Algemene Verordening Gegevensbescherming (AVG) extra zwaar wegen, zeker als het de persoonlijke veiligheid/privacy van eigen medewerkers betreft?
    2. Te Beschermen Belangen, Gaat het om zogenaamde cruciale belangen die van primair belang zijn voor het voortbestaan van de organisatie, waarbij het vertrouwen van de burger en het bedrijf in de betrouwbare overheid op het spel komt te staan indien die bescherming onvoldoende geborgd is?
    3. Betrouwbaarheid van producten en diensten, De betrouwbaarheid van de levering van producten en diensten is essentieel voor de organisatie. De Cloud Service Provider (CSP) vervuld daarin als belangrijkste actor een cruciale rol. Daarom is een passende dienstverlening nodig, waarbij het karakter van de te verwerken gegevens/processen daarvoor geschikt moet zijn.


    Afhankelijk van de situationele context, zal het tevens gaan om bedrijfsgegevens die vallen in één van de hieronder geschetste domeinen uit afbeelding 'Schematische weergave soorten gegevens' en die de daarbij behorende passende maatregelen vergen.


    ”Situationele context van gegevens”
    Schematische weergave soorten gegevens


    Afhankelijkheid en kwetsbaarheid

    Vraag 1: Gaat het om persoonsgegevens en/of (zeer) vertrouwelijke bedrijfsgegevens?

    NB Onder persoonsgegevens verstaat de AVG alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’), die direct of indirect kan worden geïdentificeerd. Bijvoorbeeld aan de hand van naam, identificatienummer (BSN), locatiegegevens of via elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

    • Direct identificeerbaar: Gegevens die naar hun aard rechtstreeks betrekking hebben op een persoon, zoals iemands naam.
    • Indirect identificeerbaar: Gegevens die naar hun aard mede bepalend zijn voor de wijze waarop de betrokken persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld.

    Voorbeelden van indirect zijn het type huis of auto van een betrokkene, omdat dit iets zegt over het inkomen en vermogen van de betrokkene. Ook gegevens die in combinatie met andere gegevens tot identificeerbaarheid kunnen leiden worden aangemerkt als persoonsgegeven.

    NB Vertrouwelijke bedrijfsgegevens, zoals bijvoorbeeld (nog vertrouwelijke) financiële, technische of juridische informatie, budgetten, beleidsvoornemens, aanbestedingen, beursgevoelige informatie; kortom alle informatie die (nog) niet voor derden is bestemd.

    Zo ja, dan is een meer gedetailleerde risicoanalyse noodzakelijk (pre-DPIA, DPIA en/of risicobeoordeling).

    NB Die gedetailleerde risicoanalyse zal in het geval van:

    • Privacy gevoelige gegevens bestaan uit een zogenaamde pre-DPIA (risico inschatting op basis van 9 vragen), afhankelijk van de uitkomst gevolgd door een formele DPIA.
    • vertrouwelijke informatie zal classificatie plaatsvinden door de Betrouwbaarheidseisen te toetsen (= gewenste niveau van beschikbaarheid, integriteit en vertrouwelijkheid).

    Zo nee, ga naar vraag 2.


    Te beschermen belangen

    Vraag 2: Gaat het om één van de volgende typen processen (is het karakter van de processen)?

    2a) Gaat het om de verwerking van gegevens en/of geldstromen in een of meerdere processen van onze organisatie die niet in de handen mogen vallen van de criminaliteit, omdat dat het vertrouwen dat burger en bedrijf stellen in ons als betrouwbare overheid ernstig zou kunnen schaden?

    2b) Gaat het om een primair proces of processen van onze organisatie, waarbij geldt dat wanneer deze processen op enig moment worden belemmerd of gestopt, in dit voorbeeld de schade voor onze organisatie groot zal zijn (zowel in financiële zin als ook in termen van imago-schade)?

    Zo nee, ga dan naar vraag 3. Zo ja, dan is een meer gedetailleerde risicoanalyse noodzakelijk (betrouwbaarheidseisen toetsen, en zo nodig meer en/of zwaardere beveiligingsmaatregelen overeenkomen, inclusief risicobeoordeling).


    Betrouwbaarheid van producten en diensten

    Vraag 3: Biedt de leverancier een acceptabel niveau van dienstverlening?

    3a) Is de leverancier van de toepassing/applicatie NEN-EN-ISO/IEC 27001:2017 (Managementsystemen voor informatiebeveiliging - Eisen) gecertificeerd?

    3b) Indien er sprake is van opslag van data bij een extern datacenter is dat datacenter ISO 27001 gecertificeerd of anderszins gecertificeerd (ISAE3402 of SOC2)?

    3c) Waar worden eventuele (bron)gegevens van de provincie opgeslagen die gebruikt worden bij het werken met de toepassing/applicatie in verband met ongewenste opslag buiten Europa?

    3d) Is de leverancier bereid tot een externe (onafhankelijke) audit op compliance met wet- en regelgeving?


    Als één van deze 4 sub-vragen uit vraag 3 negatief wordt beantwoord, dan geldt dat er een alternatieve oplossing gezocht moet worden voor public clouddiensten, zoals een private cloud-omgeving, nu of in de toekomst geleverd vanuit de overheid, zoals Rijkscloud, of IT-outsourcing, of on-premise in een eigen rekencentrum.


    Ga terug naar Context van de relatie tussen de CSC en de CSP
    6 december 2021 16:39:21BIO Thema Clouddiensten - Beslisboom voor risicobeoordeling IV-diensten
    CLD_TOEL VAHoofdstuk normenkader2.1Actueel6 december 202129 oktober 2021Hierna volgt een korte verantwoording over de aanpak, de keuzes die gemaakt zijn en de inhoudelijke objecten die gebruikt zijn in deze BIO Thema-uitwerking. Om te komen tot een thema-uitwerking die breed draagvlak heeft en toegevoegde waarde biedt aan overheidsorganisaties zijn de objecten getraceerd langs:
    1. Cloud Service Consumer (CSC)-eisen
    2. Bedreigingen/kwetsbaarheden
    3. Baselines


    Overheidsorganisaties die inmiddels over specifieke normenkaders voor clouddiensten beschikken, zijn gevraagd om hun kaders, via deze thema-uitwerking voor een groter publiek open te stellen voor hergebruik.

    CSC-eisen

    Om de specifiek CSC-georiënteerde aandachtspunten te traceren, zijn vragen gesteld aan overheidsorganisaties om te komen tot een set van eisen en wensen. Met de eisen en wensen zijn objecten geïdentificeerd. Hierbij zijn aan doelorganisaties en cloud-groepssessies enkele vragen gesteld, zoals:

    • Hoe kan deze thema-uitwerking de organisatie helpen bij het verwerven van clouddiensten?
    • Wat moet minimaal uitgewerkt worden in de BIO Thema-uitwerking clouddiensten?
    • Welke eisen worden door overheidsorganisaties gesteld bij het verwerven van clouddiensten?
    • Zijn vanuit deze thema-uitwerking verbindingen noodzakelijk met functionele eisen voor clouddiensten en normatiek?

    Bedreigingen/kwetsbaarheden

    Om specifieke objecten te identificeren, is ook gericht op de algemene dreigingen en kwetsbaarheden die voortvloeien uit het toepassen van clouddiensten.

    Baselines

    Hiernaast zijn bestaande baselines geraadpleegd, voor zover ze specifiek zijn voor clouddiensten. De specifieke objecten, ook vanuit de eisen en wensen van de CSC-zijde en de dreigingen, uit de baselines zijn geselecteerd voor en toegespitst op de cloud-omgeving. Verder is er een koppeling gelegd met de BIO en met de ISO 27017, die specifiek gericht is op clouddiensten. Afbeelding 'Traject totstandkoming BIO Thema-uitwerking Clouddiensten' geeft een overzicht van de beschreven stappen.


    ”Het traject van de totstandkoming van het thema cloud document”
    Traject totstandkoming van de BIO Thema-uitwerking Clouddiensten
    6 december 2021 15:01:51BIO Thema Clouddiensten - Verantwoording
    CLD_TOEL_CCHoofdstuk normenkader2.1Actueel6 december 202129 oktober 2021==Toelichting control-domein==

    Hieronder volgt per invalshoek een toelichting op het control-domein:

    • Intentie, De organisatie heeft haar beleid voor clouddiensten vertaald naar een servicemanagementbeleid en evaluatierichtlijnen voor het inrichten, evalueren en bewaken van het functioneren en van de bescherming van de clouddiensten en activiteiten uitvoeren voor het monitoren en reviewen van de risico’s.
    • Functie, De organisatie heeft beheersingsprocessen ingericht en verricht voor beveiligingscontroles en kwetsbaarheden van de clouddiensten.
    • Gedrag, De organisatie verricht in haar processen activiteiten voor het monitoren van clouddiensten en technische kwetsbaarheden.
    • Structuur, De organisatie heeft voor de clouddiensten een beheersingsorganisatie ingericht.


    Afbeelding 'Dreigingen/kwetsbaarheden van control-objecten' toont de dreigingen/kwetsbaarheden van de genoemde control-objecten.


    ”De dreigingen en kwetsbaarheden van de control-objecten”
    Dreigingen/kwetsbaarheden van control-objecten


    Dreigingen/kwetsbaarheden cloudcontrol-objecten

    Het control-domein is op dezelfde wijze geanalyseerd als vermeld bij het beleidsdomein. Ook hier zijn de vermelde dreigingen/kwetsbaarheden en risico’s zijn niet uitputtend benoemd. De relevante objecten binnen het control-domein worden weergegeven in afbeelding 'Control-objecten gestructureerd met de SIVA-methodiek'.


    ”De dreigingen en kwetsbaarheden van de control-objecten”
    Control-objecten gestructureerd met de SIVA-methodiek


    Ga terug naar Dreigingen en/of kwetsbaarheden
    6 januari 2022 14:22:51BIO Thema Clouddiensten - Cloudbeveiligingsobjecten binnen het control-domein
    CLD_TOEL CBHoofdstuk normenkader2.1Actueel6 januari 202229 oktober 2021Hieronder volgt per invalshoek een toelichting op het beleidsdomein:
    • Intentie, Een organisatie heeft bij het verwerven van clouddiensten doelstellingen geformuleerd, zoals: een efficiënte bedrijfsvoering en een schaalbare en flexibele dienstverlening. Hiervoor ontwikkelt zij beleid en strategie. Omdat dit met onzekere informatie wordt ontwikkeld, laten stakeholders risicoanalyse(s) uitvoeren. Voor het uitvoeren van risicoanalyses is een te hanteren risicoaanpak (methode) vastgesteld (risicomanagement).
    • Functie, Om aan de doelstellingen te kunnen voldoen, kan de organisatie besluiten functionele eisen vast te stellen. Zij moeten de IT-functionaliteiten en gerelateerde processen en beveiligingsfuncties beschrijven.
    • Gedrag, De IT-functionaliteiten worden gerealiseerd door actoren (human resources) en IT-objecten (technische resources). Human resources refereert aan mensen waaraan eisen worden gesteld, zoals educatie, competentie/vaardigheid. IT-resources zijn ‘Data’ en IT-objecten (applicaties, servers en infrastructuur).
    • Structuur, De inzet van de actoren dienen goed georganiseerd te worden door een organisatiestructuur en de benodigde IT-objecten een architectuur.


    Afbeelding 'Dreigingen/kwetsbaarheden van beleidsobjecten' toont dreigingen/kwetsbaarheden van de genoemde beleidsobjecten.


    ”De dreigingen/kwetsbaarheden van de beleidsobjecten”
    Dreigingen/kwetsbaarheden van beleidsobjecten


    Dreigingen/kwetsbaarheden cloud-beleidsobjecten

    Afbeelding 'Beleidsobjecten gestructureerd met de SIVA-methodiek' geeft voor het beleidsdomein en dankzijde vermelde dreigingen/kwetsbaarheden en risico’s de geïdentificeerde beveiligingsobjecten voor clouddiensten weer. Deze dreigingen/kwetsbaarheden en risico’s zijn niet uitputtend en illustreert de wijze waarop de schrijfgroep tot relevante beleidsobjecten is gekomen: eerst een longlist en vervolgens een shortlist. De objecten uit de shortlist zijn vervolgens gestructureerd met de SIVA-methodiek. SIVA staat voor Structuur, Inhoud, Vorm en Analysevolgorde. Ze zijn ingedeeld in de 3 domeinen: beleid, uitvoering en control en 4 invalshoeken: intentie, functie, gedrag en structuur.


    ”De Beleidsobjecten gestructureerd met de SIVA-methodiek”
    Beleidsobjecten gestructureerd met de SIVA-methodiek


    Ga terug naar Dreigingen en/of kwetsbaarheden
    6 januari 2022 14:20:06BIO Thema Clouddiensten - Toelichting objecten in het beleidsdomein
    CLD_TOEL TSHoofdstuk normenkader1.0Uitgefaseerd7 september 202126 februari 2020Er wordt een toelichting gegeven van de Structuur, Inhoud, Vorm, Analysevolgorde (SIVA)-basiselementen met behulp van het Management Control System (MCS). Hiermee wordt de validiteit van de basiselementen binnen de IFGS (Intentie, Functie, Gedrag en Structuur) kolommen aangegeven. De basiselementen worden verder binnen de Beleid, Uitvoering en Control (BUC)-aspecten toegepast om de relaties tussen de geïdentificeerde cloud-principes uit te drukken.

    De dynamische omgeving van een organisatie kan (volgens Leavitt, 1965 en COBIT) met behulp van vier componenten worden uitgedrukt, te weten: functie/processen, mensen, technologie en structuur. Als input geldt een ontwikkelde strategie en als output de performance, die het resultaat is van de samenwerking van de genoemde vier componenten. In de literatuur wordt het MCS bezien als een ‘Framework voor de implementatie van Strategie’, zoals in onderstaande afbeelding wordt afgebeeld.

    ”Weergave van de componenten van het MCS”
    Weergave van de componenten van MCS

    MCS- en SIVA-basiselementen - Aan de componenten van het MCS-framework kunnen vanuit de invalshoeken: Intentie, Functie, Gedrag en Structuur (IFGS) verschillende basiselementen worden gekoppeld. Deze basiselementen zijn weergegeven in onderstaande afbeelding. De zes componenten en de hieraan gerelateerde basiselementen vormen unieke set elementen om de geïdentificeerde set cloud-principes te labelen. Door het labelen van de geïdentificeerde set cloud-principes met de basiselementen krijgen de cloud-principes een unieke plek in de matrix, hierbij wordt tevens rekening gehouden met de typen functionarissen die actief zijn op de BUC-lagen. Zo kan een samenhangend beeld van de geïdentificeerde cloud-principes worden weergegeven.

    ”Weergave van de samenhang van de basiselementen binnen het MCS”
    Weergave van de samenhang van de basiselementen binnen het MCS
    7 september 2021 15:44:17BIO Thema Clouddiensten - Toelichting SIVA-basiselementen
    CLD_INLHoofdstuk normenkader2.1Actueel6 januari 202229 oktober 2021De toepassing van cloud-computing1-diensten, kortweg clouddiensten, is een methode voor het leveren van de ICT. Cloud-computing is een term die staat voor de omgeving waarbinnen Cloud Service Providers (CSP’s) functionaliteit of diensten in de vorm van een technologische black-box aanbieden. Dit betekent dat clouddiensten gekozen worden met een vooraf vastgestelde ‘dienstenmenukaart’. De Cloud Service Consumer (CSC) kan als aanvullende eis stellen dat het effectieve beveiligingsniveau voor de betrokken CSC geen invloed ondervindt van onderhoud- en releasewerkzaamheden voor andere CSC's.


    In het algemeen zijn er 3 soorten IT-clouds te onderscheiden:

    1. Private (met een dedicated infrastructuur), De IT-voorzieningen zijn ingericht voor één CSC en opgezet met de standaarden van de CSP.
    2. Private/shared (met een geheel of gedeeltelijk gedeelde infrastructuur), De IT-voorzieningen zijn toegankelijk voor één CSC en zij delen, om kosten te besparen, de onderliggende infrastructuur met andere CSC’s (bijvoorbeeld de opslag en het netwerk).
    3. Publiek, De IT-voorzieningen zijn toegankelijk via het Internet. De voorzieningen worden meestal gedeeld met andere CSC’s.


    De meest bekende clouddiensten zijn:

    • Software as a Service (SaaS), Bij SaaS staat de applicatie volledig onder controle van de dienstverlener.
    • Platform as a Service (PaaS), Bij PaaS worden de platformen en de infrastructuur beheerd door de CSP en niet de applicaties.
    • Infrastructure as a Service (IaaS), Bij IaaS wordt alleen de infrastructuur beheerd door de CSP en niet de applicaties en de platformen.


    De toepassing van clouddiensten past in de verschuiving van maatwerkoplossingen naar standaard oplossingen. Sommige overheidsorganisatie maken al gebruik van bepaalde type clouddiensten. Andere organisaties overwegen nog om gebruik te maken van clouddiensten. Ook hebben sommigen hiervoor een eigen cloud-beleid ontwikkeld. Bij veel overheidsorganisatie heerst er echter onzekerheid over:

    • het verwerven van clouddiensten, omdat heel veel activiteiten buiten hun zicht plaatsvinden;
    • het opslaan van data bij een derde partij.


    Een ander belangrijk aandachtspunt bij de overheidsorganisatie is dat bij een toename van het aantal diensten en dienstverleners (CSP’s) de regie-inspanning voor de afnemer (CSC) verder kan toenemen. Vooral wanneer CSP’s andere CSP’s inschakelen voor de te leveren diensten.


    Ondanks het feit dat voor clouddiensten verschillende baselines bestaan, vragen organisaties zich af op welke onderwerpen2 zij zich dienen te focussen.


    Overheden die IT-diensten willen aanbesteden, dienen zich vanuit hun bijzondere verantwoordelijkheid de vraag te stellen, welke data van medewerkers, burgers en bedrijven, opgeslagen kan worden in de (publieke) cloud en welke data binnen de bescherming van de rekencentra van de overheid moet blijven. Leidend daarbij zijn de antwoorden3 van minister Plasterk op vragen vanuit de Tweede Kamer, mei 2014. De standpunten van de AIVD en de verkenning Cloudbeleid Rijksdienst en de IBD-handreikingen voor clouddiensten zijn tevens richtinggevend bij de risicoanalyse, zoals verderop in deze thema-uitwerking is uitgewerkt.

    Doelstelling

    Het doel van deze BIO Thema-uitwerking is overheidsorganisaties een systematisch beeld te geven van de voornaamste objecten van clouddiensten, waarmee zij ondersteund worden bij een goed afgewogen inzet van clouddiensten en het onderkennen van de aspecten die van belang zijn bij het aangaan van een clouddienst. De focus van deze thema-uitwerking ligt op beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid van de data en de betrouwbaarheid van de bedrijfsprocessen.


    De uitwerking van de BIO Thema-uitwerking Clouddiensten dient als handreiking bij inkoop van clouddiensten. De keuze van de objecten dient plaats te vinden met de context van de organisatie en risicoanalyse.

    Opzet BIO Thema-uitwerking

    De BIO Thema-uitwerking Clouddiensten wordt uitgewerkt langs twee lijnen: structuur en objecten. De structuur van de BIO Thema-uitwerking Clouddiensten bestaat uit een indeling van beleid, uitvoering en control. De beveiligingsobjecten vormen de inhoudelijke onderwerpen die, vanuit de optiek van de CSC, van belang zijn. Door eerst op de objecten te focussen, wordt inzicht verkregen in en de relatie tussen de noodzakelijke objecten. Na het verkregen inzicht worden per object controls en onderliggende criteria voor maatregelen gedefinieerd. De objecten en de bijbehorende criteria voor maatregelen worden gestructureerd via het beleids-, uitvoerings- of controldomein.


    Er wordt een standaard opzet voor BIO Thema-uitwerkingen gevolgd. Vanwege het bijzondere karakter van deze thema-uitwerking zijn voor betere begripsvorming enkele onderwerpen toegevoegd. Deze thema-uitwerking volgt de volgende opzet:

    Context relatie tussen CSC en CSP

    In de verhouding tussen de CSC en de CSP zijn drie issues waar organisaties steeds op focussen. Vanuit de CSC beredeneerd zijn dit:

    1. On-going, Krijgt de CSC qua prestaties op dagelijkse basis de juiste diensten geleverd? Anders gezegd, voldoen de geleverde diensten aan prijs, kwaliteit, veiligheid- en continuïteitseisen? Dus hoe het gesteld is met de performance?
    2. Continuous monitoring (near real time), Krijgt de CSC de zekerheid dat hij regulier, conform contracten, bedrijfseisen en beveiligingseisen, de juiste diensten ontvangt? Dus hoe het gesteld is met de beoogde conformiteit?
    3. Compliancy (periodieke metingen en evaluaties), Krijgt de CSC de zekerheid dat hij in de afgelopen periode, conform wet- en regelgeving, contracten, bedrijfseisen en beveiligingseisen de juiste diensten heeft ontvangen? Dus hoe het gesteld is met de beoogde de compliance?


    Bij de inkoop van clouddiensten levert de CSP niet alleen de gecontracteerde clouddiensten (ICT- servicelevering), maar ook de noodzakelijke continuous monitoring-, compliancy- en assurance-rapportages, zoals dit in afbeelding 'Twee deliverables van een CSP' wordt geschetst.


    ”Twee deliverables van een CSP”
    Twee deliverables van een CSP


    Afbeelding 'Twee deliverables van een CSP' is verder uitgewerkt in afbeelding 'Twee CSP-deliverables en CSC-eisen/wensen'.


    ”Twee deliverables van een CSP en de eisen en wensen aan de vraag en levering kant”
    Twee CSP-deliverables ven CSC-eisen/wensen


    ICT-servicelevering

    Dit betreft de daadwerkelijk door de CSC gevraagde publieke of private clouddiensten, die aan bepaalde functionele en beveiligingseisen moeten voldoen. De levering gaat vergezeld van prestatiemetingen over de geleverde diensten en de noodzakelijke verbetermaatregelen voor leveringen en beveiliging.


    Assurance

    Dit betreft een jaarlijkse rapportage gebaseerd op een onderzoek uitgevoerd door een derde partij. Met de assurance-rapportage geeft de CSP zekerheid aan de CSC dat de geleverde diensten aan de contractuele eisen hebben voldaan. De assurance-rapportage komt tot stand met een onderzoekstraject waarin een referentiekader als toetsingsmiddel wordt gehanteerd.


    Trust

    De inkoop van clouddiensten gaat gepaard met een gedragen en haalbaar ICT-servicecontract. Echter er zullen altijd aspecten zijn die bij de contractvorming over het hoofd worden gezien. Voor een duurzame relatie is daarom een vertrouwensrelatie tussen de CSC en de CSP vereist, anders lopen zij steeds het risico in een juridische strijd verwikkeld te raken.

    Zowel aan de CSC-kant als aan de kant van de CSP spelen verschillende aspecten een rol. In de relatie tussen de CSC en CSP heeft iedere partij haar eigen rol. De relevante aspecten zijn hieronder beschreven.


    CSC (vraagzijde)

    Initieel stelt de CSC een Programma van Eisen en Wensen (PvEeW) vast voor de te verwerven clouddiensten en communiceert dit met de potentiële CSP’s. Wanneer de CSC en de gekozen CSP overeenstemming bereiken, worden clouddiensten geleverd. Een belangrijke vraag voor overheidsdienstverlening is hierbij: ‘Is de toepassing van Clouddienst, gelet op de, door de Tweede Kamer geaccepteerde risico’s toegestaan?'4 In BIO Thema Clouddiensten - Beslisboom voor risicobeoordeling IV-diensten zijn instrumenten, in de vorm van beslisbomen, opgenomen waarmee organisaties kunnen besluiten al dan niet gebruik te maken van clouddiensten.


    CSP (leveringszijde)

    De CSP maakt met het PvEeW een functioneel en technisch ontwerp. Vervolgens wordt de dienst gebouwd, getest en in productie genomen. Deze geleverde diensten dienen altijd te voldoen aan de, in de vorm van wettelijke en business eisen, gestelde condities. Hiernaast komen de partijen overeen dat de geleverde diensten:

    • meetbaar en voorspelbaar moeten zijn;
    • compliant moeten zijn aan wet- en regelgeving, business- en beveiligingseisen van de CSC;
    • beveiligd en beheerst moeten zijn.


    Geleverde diensten

    Deze diensten dienen altijd te voldoen aan de, in de vorm van wettelijke en business eisen, gestelde condities. Hiernaast komen de partijen overeen dat de geleverde diensten:

    • meetbaar en voorspelbaar moeten zijn;
    • compliant moeten zijn aan wet- en regelgeving, business- en beveiligingseisen van de CSC;
    • beveiligd en beheerst moeten zijn.

    Context en globale structuur clouddiensten

    Afbeelding 'Twee deliverables van een CSP en de eisen/wensen aan de CSC-kant' kan samengevat worden met het beleids-, uitvoerings- en control-domein. Dit wordt in afbeelding 'Context CSC- en CSP-relatie bij clouddienstenverwerving' geïllustreerd.


    ”Context CSC en CSP relatie bij verwerven van clouddiensten”
    Context CSC- en CSP-relatie bij clouddienstenverwerving

    Beleidsdomein

    De CSC stelt een PvE(eW) op, dat als randvoorwaarde geldt. Voor zowel de CSC als de CSP is het PvE(eW) een toetsinstrument. Zij kunnen de volgende vragen stellen:

    • CSC: heb ik de juiste dienst(en) geleverd gekregen?
    • CSP: hoe kan ik aantonen dat ik de juiste diensten heb geleverd?

    Uitvoeringsdomein

    Binnen dit domein gaat het om de operationele levering van clouddiensten. Aan beide zijden moet transparantie zijn over de gevraagde en daadwerkelijke leveringen.

    Control-domein

    Binnen dit domein zijn de beheersingsprocessen ingericht. Voor de beoogde dienstverlening moeten de beheersingsprocessen aan de kant van de CSC en de CSP op elkaar zijn afgestemd.

    Scope en begrenzing clouddiensten

    De scope van de BIO Thema-uitwerking Clouddiensten is de set van specifieke onderwerpen (objecten) waar organisaties aandacht aan moeten besteden bij het inkopen van clouddiensten. Deze thema-uitwerking richt zich hoofdzakelijk op het ‘wat’-aspect.


    Het is ook van belang om te weten langs welke route organisaties naar de cloud kunnen. Hieraan liggen migratiestrategieën ten grondslag. De migratiestrategieën zullen niet worden beschreven. Het zogeheten ‘hoe’-aspect wordt in deze thema-uitwerking niet uitgewerkt. In de praktijk zijn daarvoor verschillende baselines beschikbaar.


    De algemene eisen uit de Baseline Informatiebeveiliging Overheid (BIO) en ISO 27001 en ISO 27002 blijven onverminderd van kracht. Het gaat in deze thema-uitwerking om specifieke additionele objecten die gerelateerd zijn aan clouddiensten. De maatregelen die gerelateerd zijn aan deze objecten moeten realistisch en implementeerbaar zijn voor een CSP.


    Privacy-aspecten: Data Protection Impact Assessments (DPIA’s) worden niet expliciet in dit thema opgenomen, omdat DPIA’s vanuit de Algemene Verordening Gegevensbescherming (AVG) generiek bij elk project uitgevoerd dienen te worden.


    De begrenzing van deze BIO Thema-uitwerking is in onderstaande afbeelding weergegeven.


    ”Relatie BIO Thema-uitwerking Clouddiensten met aanpalende documenten”
    Relatie BIO Thema-uitwerking met aanpalende documenten


    Aanleiding om gebruik te maken van clouddiensten

    Enkele belangrijke argumenten van overheden om gebruik te maken van clouddiensten zijn:

    • de focus op kerntaken;
    • een efficiënte bedrijfsvoering en het verlagen van de totale kosten;
    • het binnen een kort tijdsbestek kunnen beschikken over nieuwe IT-functionaliteit en daarmee de dienstverlening aan burger en bedrijf sneller aan kunnen passen aan de (veranderende) behoefte;
    • de zekerheid over gekwalificeerd personeel;
    • het verlagen van IT-complexiteit in specifieke situaties;
    • het verbeteren van beveiliging/beschikbaarheid;
    • een herziene bedrijfsstrategie en vereiste specifieke beveiligingseisen voor processen en data.


    Hiernaast kunnen organisaties met externe factoren overwegen om gebruik te maken van clouddiensten, zoals:

    • Vigerende wet- en regelgeving voor:
      • een betrouwbare dienstverlening en het veilig omgaan met data van burgers en bedrijven;
      • het overheidsbeleid inzake data in de cloud en de invloed van internationale verdragen;
      • de noodzaak voor een weerbare overheid tegen cybercriminaliteit en statelijke actoren;
    • Technologische ontwikkelingen, Hierbij wil de CSC kunnen inspelen op innovaties, die kunnen leiden tot een efficiëntere bedrijfsvoering en verlaging van de totale kosten.

    Toepassing BIO Thema-uitwerking

    Deze BIO Thema-uitwerking is een hulpmiddel bij het kiezen van een aantal te adresseren cloud-objecten bij het verwerven van clouddiensten. Bij de opzet van deze thema-uiterking is het onderwerp cloud functioneel benaderd en niet uitgewerkt op de technische gelaagdheid van SaaS, PaaS en IaaS. Bij het verwerven van clouddiensten kan de ISOR (Information Security Object Repository) als hulpmiddel dienen. Dit impliceert de volgende stappen:

    • Bepaal als eerste de context van de case en het type dienst dat verworven moet worden.
    • Identificeer vervolgens de operationele beveiligingsobjecten. Raadpleeg hierbij de objecten in het uitvoeringsdomein (zie Uitvoeringsdomein).
    • Identificeer daarna de conditionele objecten. Raadpleeg hierbij de objecten in het beleidsdomein (zie Beleidsdomein).
    • Identificeer tenslotte de beheersingsobjecten. Raadpleeg hierbij de objecten in het control- domein (zie Control-domein).
    • Neem de beveiligingsobjecten op in het PvEeW voor de clouddienst, zodat deze objecten door de CSP kunnen worden gerelateerd aan de specificaties van bestaande ‘standaard diensten’ of worden vertaald in maatregelen voor de aangeboden specifieke dienstverlening.
    6 januari 2022 14:50:22BIO Thema Clouddiensten - Inleiding
    CLD_B.07.02Norm2.1Actueel6 december 202129 oktober 2021IT-functionaliteitenBeleidFunctie
  • Focus Group on Cloud Computing Technical Report Part 5 - Cloud security: 8.5
  • Technische beveiligingsmaatregelen in de vorm van sterke toegangsbeveiliging, encryptie en data-analysemethoden zijn getroffen tegen bescherming van de infrastructuur.IT-functionaliteit6 december 2021 13:32:40Treffen technische beveiligingsmaatregelen tegen bescherming van infrastructuur
    CLD_U.08.01Norm2.1Actueel6 januari 202229 oktober 2021GescheidenUitvoeringFunctie
    • CIP-netwerk
    De Cloud Service Provider (CSP) realiseert de volgende scheiding van clouddienstverlening:
    • onderlinge scheiding van de Cloud Service Consumers (CSC’s) in een multi-tenant-omgeving;
    • scheiding tussen de afgenomen cloud-service en de interne informatievoorziening van de CSP;
    • de CSP maakt het mogelijk om de beoogde scheiding van clouddiensten te verifiëren.
    Scheiding dienstverlening6 januari 2022 08:22:17Realiseren diverse scheidingen van clouddienstverlening
    CLD_B.10.03Norm2.1Actueel6 december 202129 oktober 2021Organisatorische positieBeleidStructuur
  • CIP-netwerk
  • De Cloud Service Provider (CSP) heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegeven.Beveiligingsorganisatie clouddiensten6 december 2021 14:31:00Geven positie van informatiebeveiligingsorganisatie binnen organisatie
    CLD_U.12.04Norm2.1Actueel6 januari 202229 oktober 2021NetwerkconnectiesUitvoeringGedrag
    • Cloud Computing Compliance Criteria Catalogue - C5:2020: COS-06
    Dataverkeer voor Cloud Service Consumers (CSC’s) zijn in gezamenlijk gebruikte netwerkomgevingen gescheiden volgens een gedocumenteerd concept voor de op netwerkniveau (logische) segmentatie van CSC’s, om zo de integriteit en vertrouwelijkheid van de verzonden gegevens te garanderen.Koppelvlakken6 januari 2022 12:50:40Scheiden dataverkeer in gezamenlijk gebruikte netwerkomgevingen
    CLD_B.10.08Norm2.1Actueel10 november 202129 oktober 2021RapportagelijnenBeleidStructuur
    • Trust services document
    Het type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.Beveiligingsorganisatie clouddiensten10 november 2021 10:55:41Vaststellen type, frequentie en eisen voor inhoudelijke rapportages
    CLD_C.06.01Norm2.1Actueel5 januari 202229 oktober 2021ProcesstructuurControlStructuur
    • ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen: B.06.07
    De samenhang van processen wordt in een processtructuur vastgelegd.Beheersorganisatie clouddiensten5 januari 2022 08:30:24Vastleggen samenhang van processen in processtructuur
    CLD_B.04.01Norm2.1Actueel5 januari 202229 oktober 2021Cloud-beveiligingsbeleidBeleidIntentie
    • NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services): 5.1.1
    Het cloud-beveiligingsbeleid bevat:
    • Organische georiënteerde maatregelen:
      • informatiebeveiligingsvereisten die van toepassing zijn bij het ontwerp en de implementatie van cloud-services;
      • communicatie met de Cloud Service Consumer (CSC) in relatie tot en tijdens wijzigingen;
      • communicatie van beveiligingsinbreuken en het delen van informatie;
      • richtlijnen voor de ondersteuning van (forensische) onderzoeken;
      • compliancy-maatregelen op wet- en regelgeving.
    • Technisch georiënteerde maatregelen:
      • multi-tenancy en isolatie van de CSC;
      • toegangsprocedures, bijvoorbeeld sterke authenticatie voor toegang tot cloud-services;
      • toegang tot en protectie van de data van de CSC;
      • levenscyclusmanagement van CSC-accounts;
      • risico’s gerelateerd aan niet geautoriseerde insiders;
      • virtualisatie beveiliging;
      • beveiligingsarchitectuur en -maatregelen voor het beschermen van data, applicaties en infrastructuur.
    Clouddienstenbeleid5 januari 2022 08:55:23Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid
    CLD_B.09.07Norm2.1Actueel6 december 202129 oktober 2021EigenaarschapBeleidGedrag
  • NEN-ISO/IEC 19086-1:2016 (Service level agreement (SLA) framework - Part 1: Overview and concepts): 10.7.1.2
  • In de overeenkomst tussen de Cloud Service Provider (CSP) en de Cloud Service Consumer (CSC) is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten.Privacy en bescherming persoonsgegevens clouddiensten6 december 2021 14:16:50Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienst
    CLD_U.05.02Norm2.1Actueel5 januari 202229 oktober 2021Cryptografische maatregelenUitvoeringFunctie
    • CIP-netwerk
    Opgeslagen gegevens in de clouddienst worden naar de laatste stand der techniek beveiligd met encryptie en met een tenminste voor het doel toereikende sleutellengte, waarbij het sleutelbeheer zo mogelijk niet als clouddienst wordt afgenomen en door de Cloud Service Consumer (CSC) zelf wordt uitgevoerd.Dataprotectie5 januari 2022 15:13:07‘State of the art’ binnen clouddienst opgeslagen gegevens beveiligen met encryptie
    CLD_B.08.05Norm2.1Actueel10 november 202129 oktober 2021Beleid en proceduresBeleidFunctie
    • Cloud Computing Compliance Criteria Catalogue - C5:2020: BCM-02
    Het beleid en de procedures voor het vaststellen van de impact van storingen van cloud-services zijn gedocumenteerd en gecommuniceerd, waarbij aandacht wordt besteed aan:
    • beschikbaarheid van data en functionaliteit in relatie tot vendor lock-in en transitie naar andere Cloud Service Providers (CSP's) of exit-strategie (voor de mogelijke op risicoanalyse gebaseerde scenario’s);
    • identificatie van kritische producten en services;
    • identificaties van afhankelijkheden, processen, en business partners en derde partijen;
    • consequenties van verstoringen;
    • schattingen van vereiste resources voor herstel.
    Bedrijfscontinuïteitsmanagement6 december 2021 14:03:29Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservices
    CLD_B.01.05Norm2.1Actueel10 november 202129 oktober 2021Contractuele eisenBeleidIntentie
  • ISO 27002 2017: 18.1.1
  • Voor clouddiensten zijn, om aan de wettelijke en contractuele eisen te kunnen voldoen, specifieke maatregelen getroffen en verantwoordelijkheden benoemd.Wet- en regelgeving Clouddiensten10 november 2021 10:06:45Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisen
    CLD_U.12.02Norm2.1Actueel11 november 202129 oktober 2021NetwerkconnectiesUitvoeringGedrag
    • CIP-netwerk
    Fysieke en gevirtualiseerde netwerkcomponenten zijn zodanig ontworpen en geconfigureerd dat netwerkconnecties tussen vertrouwde en onvertrouwde netwerken worden beperkt en gemonitord (bewaakt).Koppelvlakken11 november 2021 14:38:10Ontwerpen en configureren netwerkcomponenten om netwerkconnecties te beperken en te monitoren
    CLD_B.10.06Norm2.1Actueel10 november 202129 oktober 2021FunctionarissenBeleidStructuur
    • CIP-netwerk
    De belangrijkste functionarissen (stakeholders) voor informatiebeveiliging zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.Beveiligingsorganisatie clouddiensten10 november 2021 10:54:28Vastleggen taken, verantwoordelijkheden en bevoegdheden in autorisatiematrix
    CLD_U.06.05Norm2.1Actueel5 januari 202229 oktober 2021VernietigdUitvoeringFunctie
    • NEN-EN-ISO/IEC 27040:2016 (Storage security): 6.7.1
    Bij het beëindigen van de contractrelatie wordt de data van de Cloud Service Consumer (CSC), inclusief de back-up van gegevens en de metadata veilig gewist, om te voorkomen dat de CSC-gegevens naderhand door de Cloud Service Provider (CSP) kunnen worden hersteld, bijvoorbeeld met forensische hulpmiddelen.Dataretentie en gegevensvernietiging5 januari 2022 15:27:56Wissen CSC-data bij beëindigen van contractrelatie
    CLD_B.08.02Norm2.1Actueel6 december 202129 oktober 2021Verantwoordelijkheid voor BCMBeleidFunctie
    • Cloud Computing Compliance Criteria Catalogue - C5:2020: BCM-01
    De verantwoordelijke voor bedrijfscontinuïteitsmanagement (BCM) stelt zeker dat adequate resources beschikbaar zijn voor het uitvoeren van een effectief BCM-proces.Bedrijfscontinuïteitsmanagement6 december 2021 13:42:43Zeker stellen adequate resources voor uitvoeren van BCM-proces
    CLD_B.02.02Norm2.1Actueel6 december 202129 oktober 2021CloudbeveiligingsstrategieBeleidIntentie
    • The Standard of Good Practice for Information Security 2018: SG 2.1.3 en SG 2.1.6
    De cloudbeveiligingsstrategie van de Cloud Service Provider (CSP):
    • geeft onder andere aan hoe zij Cloud Service Consumers (CSC’s) tegen bedreigingen beschermt;
    • besteedt aandacht aan de huidige beveiligingscontext van de CSP, inclusief vaardigheden, capaciteiten en informatiebeveiligingsfunctie.
    Cloudbeveiligingsstrategie6 december 2021 11:34:58Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontext
    CLD_C.03.01Norm2.1Actueel4 januari 202229 oktober 2021CompliancyControlIntentie
  • CIP-netwerk
  • Voor de governance van de clouddienstverlening aan de Cloud Service Consumer (CSC) heeft de Cloud Service Provider (CSP) een compliance-proces ingericht, waarmee continue compliance op wet- en regelgeving en het overeengekomen cloud-beveiligingsbeleid vorm wordt gegeven.Compliance en assurance4 januari 2022 15:35:20Inrichten compliance-proces voor governance van clouddienstverlening
    CLD_C.03.03Norm2.1Actueel12 november 202129 oktober 2021CompliancyControlIntentie
    • CIP-netwerk
    Het compliance-proces is bij voorkeur aangesloten op een informatiebeveiligingsmanagementsysteem.Compliance en assurance12 november 2021 13:05:20Aansluiten compliance-proces op ISMS
    CLD_C.05.02Norm2.1Actueel5 januari 202229 oktober 2021Gemonitord en gerapporteerdControlGedrag
    • The Standard of Good Practice for Information Security 2018: S12.1.2
    Het monitoren en rapporteren over de informatiebeveiliging zijn gerelateerd aan:
    • geformuleerde strategische- en bedrijfsdoelen;
    • risico’s die het bereiken van de strategische doelen kunnen beïnvloeden;
    • beveiligingsincidenten, zoals cybersecurity-aanvallen.
    Security-monitoringsrapportage5 januari 2022 08:10:43Monitoren en rapporteren over informatiebeveiliging is gerelateerd doelen, risico en beveiligingsincidenten
    CLD_B.02.03Norm2.1Actueel6 december 202129 oktober 2021SamenhangtBeleidIntentie
  • The Standard of Good Practice for Information Security 2018: SG2.1.1
  • De samenhang van beveiligingsmaatregelen van de Cloud Service Provider (CSP) ondersteunt het behalen van de bedrijfsdoelen van de Cloud Service Consumer (CSC). Hierin wordt aangegeven:
    • in welke mate de cloudbeveiligingsstrategie van de CSP in lijn is met de organisatiebrede doelstellingen van de CSC;
    • hoe de cloud-beveiligingsgovernance van de CSC wordt ondersteund door het management van de CSP;
    • dat de clouddiensten gedocumenteerd zijn en regelmatig worden gereviewd.
    Cloudbeveiligingsstrategie6 december 2021 11:34:04Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelen
    CLD_U.12.03Norm2.1Actueel6 januari 202229 oktober 2021NetwerkconnectiesUitvoeringGedrag
  • CIP-netwerk
  • Beheeractiviteiten van de Cloud Service Provider (CSP) zijn strikt gescheiden van de data van de Cloud Service Consumer (CSC).Koppelvlakken6 januari 2022 12:42:36Scheiden CSP-beheeractiviteiten en CSC-data
    CLD_B.08.04Norm2.1Actueel6 december 202129 oktober 2021Verantwoordelijkheid voor BCMBeleidFunctie
    • Cloud Computing Compliance Criteria Catalogue - C5:2020: BCM-02
    Het bedrijfscontinuïteitsmanagement (BCM)-beleid en beleid voor business impact analyses zijn vastgesteld en gecommuniceerd.Bedrijfscontinuïteitsmanagement6 december 2021 13:51:12Vaststellen en communiceren BCM- en BIA-beleid
    CLD_B.05.03Norm2.1Actueel6 december 202129 oktober 2021OnderzoeksmogelijkhedenBeleidIntentie
    • CIP-netwerk
    De Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie voor publicatievereisten en onderzoeksmogelijkheden.Transparantie6 december 2021 13:15:33SLA/systeembeschrijving bevat specificatie voor publicatie-vereisten en onderzoeksmogelijkheden
    CLD_C.03.04Norm2.1Actueel4 januari 202229 oktober 2021AssuranceControlIntentie
    • CIP-netwerk
    De Cloud Service Provider (CSP) laat jaarlijks door een derde partij een onderzoek (audit) uitvoeren op de inrichting en beheersing van de gecontracteerde clouddiensten.Compliance en assurance4 januari 2022 15:40:36Uit laten voeren onderzoek op inrichting en beheersing van clouddiensten
    CLD_B.11.02Norm2.1Actueel6 december 202129 oktober 2021Samenhang en afhankelijkhedenBeleidStructuur
    • ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen: B.06.05
    De onderlinge samenhang tussen IT-functionaliteiten die bij het aanbieden, gebruiken en onderhouden van clouddiensten zijn betrokken, benoemd en beschreven.Clouddienstenarchitectuur6 december 2021 14:39:43Beschrijven van de samenhang tussen IT-functionaliteiten bij clouddienst-aanbieding, -gebruik en -onderhoud
    CLD_C.04.07Norm2.15 januari 202229 oktober 2021GeëvalueerdControlFunctie
    • CIP-netwerk
    Evaluaties van technische kwetsbaarheden worden geregistreerd en gerapporteerd.Technische kwetsbaarhedenbeheer clouddiensten5 januari 2022 07:59:21Registreren en rapporteren evaluaties van technische kwetsbaarheden
    CLD_B.01.03Norm2.1Actueel6 december 202129 oktober 2021Wettelijke, statutaire en regelgevende eisenBeleidIntentie
    • NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services): 18.1.1
    De voor de Cloud Service Consumer (CSC) van toepassing zijnde vereisten die voortvloeien uit wet- en regelgeving zijn geïdentificeerd, vooral waar het gaat om geografische gedistribueerde verwerkingen, opslag en communicatie waarvoor verschillende wetgeving bestaat, zoals maatregelen die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG).Wet- en regelgeving Clouddiensten6 december 2021 11:14:18Identificeren vereisten die van toepassing zijn
    CLD_B.05.01Norm2.1Actueel5 januari 202229 oktober 2021SysteembeschrijvingBeleidIntentie
    • Cloud Computing Compliance Criteria Catalogue - C5:2020: 3.4.4.1
    De systeembeschrijving bevat de volgende aspecten:
    • typen en scope van clouddiensten weergegeven met Service Level Agreements (SLA’s);
    • principes, procedures en maatregelen om ontwikkeling en operationalisering weer te geven;
    • beschrijving van de infrastructuurcomponenten die deel uitmaken van het ontwikkelen en operationaliseren van clouddiensten;
    • hoe met beveiligingsincidenten wordt omgegaan;
    • rollen en verantwoordelijkheden van de Cloud Service Provider (CSP) en Cloud Service Consumer (CSC), inclusief de verplichting om samen te werken;
    • (welke) onderdelen van de clouddiensten en/of functies toegekend of uitbesteed zijn aan sub-contractanten.
    Transparantie5 januari 2022 09:01:36Bevatten diverse aspecten in systeembeschrijving
    CLD_U.02.01Norm2.1Actueel5 januari 202229 oktober 2021Risico-analyseUitvoeringIntentie
  • NEN-ISO/IEC 27005:2018 (Information security risk management): 8.1
  • De risico’s op de middelen die binnen de scope van clouddiensten ressorteren, worden geïdentificeerd, op waarde geschat (gekwantificeerd of gekwalificeerd) en beschreven met risico-evaluatiecriteria en -doelstellingen van de Cloud Service Provider (CSP).Risico-assessment5 januari 2022 14:37:54Op waarde schatten en beschrijven van risico’s rond middelen vallend binnen clouddienstenscope
    CLD_C.02.03Norm2.1Actueel4 januari 202229 oktober 2021Gemonitord en gereviewdControlIntentie
    • NEN-ISO/IEC 27005:2018 (Information security risk management): 12.1
    De Cloud Service Provider (CSP) zal voor het monitoren van risico’s zich continu richten op:
    • nieuwe assets die deel behoren uit te maken van het toepassingsgebied van een risico-assessment;
    • veranderingen in de waarde van assets;
    • de mogelijkheid dat nieuwe of toegenomen zwakheden kunnen leiden tot dreigingen;
    • de mogelijkheid dat eerder vastgestelde zwakheden aan nieuwe dreigingen blootstaan;
    • toegenomen impact of consequenties van de beoordeelde risico’s en zwakheden resulterend in een onacceptabel risiconiveau;
    • informatiebeveiligingsincidenten.
    Risico-control4 januari 2022 15:24:14Richten op diverse zaken met betrekking tot monitoren van risico
    CLD_U.04.03Norm2.1Actueel5 januari 202229 oktober 2021GetestUitvoeringFunctie
  • Cloud Computing Compliance Criteria Catalogue - C5:2020: BCM-04
  • Het toereikend functioneren van herstelfuncties wordt periodiek getest door gekwalificeerd personeel en de resultaten daarvan worden gedeeld met de Cloud Service Consumer (CSC).Herstelfunctie voor data en clouddiensten5 januari 2022 14:58:27Testen functioneren van herstelfuncties en resultaten daarvan delen
    CLD_U.12.05Norm2.1Actueel6 januari 202229 oktober 2021BewaaktUitvoeringGedrag
    • BIO (Baseline Informatiebeveiliging Overheid): 13.1.2.1
    Het dataverkeer dat de Cloud Service Provider (CSP) binnenkomt of uitgaat, wordt in relatie tot de aard van de te beschermen gegevens/informatiesystemen bewaakt en geanalyseerd op kwaadaardige elementen middels detectievoorzieningen.Koppelvlakken6 januari 2022 12:56:52Bewaken en analyseren dataverkeer op kwaadaardige elementen
    CLD_U.06.03Norm2.1Actueel11 november 202129 oktober 2021OnveranderbaarUitvoeringFunctie
    • NEN-EN-ISO/IEC 27040:2016 (Storage security): 6.7.1
    Gegevens worden zo mogelijk gearchiveerd met Write Once Read Many (WORM)-technologie, waarmee de integriteit van de data wordt gegarandeerd.Dataretentie en gegevensvernietiging11 november 2021 11:07:53Archiveren gegevens met behulp van WORM-technologie
    CLD_U.04.01Norm2.1Actueel5 januari 202229 oktober 2021HerstelfunctieUitvoeringFunctie
    • The Standard of Good Practice for Information Security 2018: BC1.3.9
    De data en clouddiensten worden in het geval van calamiteiten binnen de overeengekomen periode en maximale dataverlies hersteld en aan de Cloud Service Consumer (CSC) beschikbaar gesteld.Herstelfunctie voor data en clouddiensten5 januari 2022 14:55:21Herstellen data en clouddiensten bij calamiteiten en beschikbaar stellen
    CLD_U.15.06Norm2.1Actueel17 januari 202229 oktober 2021Gebeurtenissen geregistreerdUitvoeringGedrag
    • CIP-netwerk
    Wijzigingen in logging en monitoring worden gecontroleerd door onafhankelijke en geautoriseerde medewerkers. (Logregels mogen nooit worden gewijzigd; deze zijn immers bedoeld om als bewijslast te kunnen gebruiken.)Logging en monitoring clouddiensten17 januari 2022 14:00:35Controleren wijzigingen in logging en monitoring
    CLD_C.04.03Norm2.1Actueel5 januari 202229 oktober 2021Technische kwetsbaarhedenControlFunctie
    • BIO (Baseline Informatiebeveiliging Overheid): 12.6.1
    Als de kans op misbruik en de verwachte schade beiden hoog zijn (NCSC (Nationaal Cyber Security Centrum) classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen.Technische kwetsbaarhedenbeheer clouddiensten5 januari 2022 07:51:41Installeren patches en treffen mitigerende maatregelen
    CLD_C.04.04Norm2.1Actueel5 januari 202229 oktober 2021Technische kwetsbaarhedenControlFunctie
    • NEN-ISO/IEC 27002: 12.6.1c
    Het tijdspad waarbinnen gereageerd moet worden op aankondigingen van potentieel relevante kwetsbaarheden is gedefinieerd.Technische kwetsbaarhedenbeheer clouddiensten5 januari 2022 07:53:46Definiëren tijdspad waarbinnen gereageerd moet worden op aankondiging kwetsbaarheid
    CLD_B.08.07Norm2.1Actueel5 januari 202229 oktober 2021Verificatie en updatenBeleidFunctie
    • Cloud Computing Compliance Criteria Catalogue - C5:2020: BCM-04
    Business impact analyses en continuïteitsplannen worden geverifieerd, geactualiseerd en regelmatig getest.Bedrijfscontinuïteitsmanagement5 januari 2022 09:28:42Verifiëren, actualiseren en testen business impact analyses en continuïteitsplannen
    CLD_U.10.02Norm2.1Actueel6 januari 202229 oktober 2021GebruikersUitvoeringGedrag
    • CIP-netwerk
    Onder verantwoordelijkheid van de Cloud Service Provider (CSP) wordt aan beheerders toegang verleend:
    • tot data met het least privilege-principe;
    • tot data met het need-to-know principe;
    • met multi-factorauthenticatie;
    • verleend tot data en applicatieve functies via technische maatregelen.
    Toegang IT-diensten en data6 januari 2022 09:54:42Verlenen toegang aan beheerders
    CLD_U.07.02Norm2.1Actueel5 januari 202229 oktober 2021GeïsoleerdUitvoeringFunctie
  • CIP-netwerk
  • Isolatie van Cloud Service Consumer (CSC)-gegevens wordt gegarandeerd door deze onder alle bedrijfsomstandigheden minimaal logisch te scheiden van de data van andere CSC’s.Datascheiding5 januari 2022 15:42:28Garanderen isolatie van CSC-gegevens door logische scheiding van andere CSC’s-data
    CLD_U.11.01Norm2.1Actueel11 november 202129 oktober 2021BeleidUitvoeringGedrag
    • BIO (Baseline Informatiebeveiliging Overheid): 10.1.1.1
    In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
    • wanneer cryptografie ingezet wordt;
    • wie verantwoordelijk is voor de implementatie van cryptologie;
    • wie verantwoordelijk is voor het sleutelbeheer;
    • welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast;
    • de wijze waarop het beschermingsniveau vastgesteld wordt;
    • bij communicatie tussen organisaties wordt het beleid onderling vastgesteld.
    Cryptoservices11 november 2021 14:33:29Uitwerken cryptografiebeleid
    CLD_U.15.01Norm2.1Actueel17 januari 202229 oktober 2021Gebeurtenissen geregistreerdUitvoeringGedrag
  • CIP-netwerk
  • Het overtreden van de beleidsregels wordt door de Cloud Service Provider (CSP) en de Cloud Service Consumer (CSC) vastgelegd.Logging en monitoring clouddiensten17 januari 2022 13:54:48Vastleggen beleidsregel-overtreding
    CLD_U.10.04Norm2.1Actueel6 januari 202229 oktober 2021BevoegdUitvoeringGedrag
    • Cloud Computing Compliance Criteria Catalogue - C5:2020: IDM-03
    Onder de verantwoordelijkheid van de Cloud Service Provider (CSP) worden bevoegdheden (systeemautorisaties) voor gebruikers toegekend via formele procedures.Toegang IT-diensten en data6 januari 2022 10:23:59Toekennen bevoegdheden voor gebruikers via formele procedures
    CLD_B.08.01Norm2.1Actueel6 december 202129 oktober 2021Verantwoordelijkheid voor BCMBeleidFunctie
    • Cloud Computing Compliance Criteria Catalogue - C5:2020: BCM-01
    De Cloud Service Provider (CSP) heeft een proceseigenaar voor het Bedrijfscontinuïteitsmanagement (BCM)-proces benoemd en hem verantwoordelijk gegeven voor het vormgeven van BCM en compliancy met het uitgestippeld beleid.Bedrijfscontinuïteitsmanagement6 december 2021 13:39:52Benoemen proceseigenaar voor BCM-proces en geven verantwoordelijkheden
    CLD_C.03.02Norm2.1Actueel4 januari 202229 oktober 2021CompliancyControlIntentie
    • CIP-netwerk
    De Cloud Service Provider (CSP) registreert de regulier uitgebrachte prestatie-, beveiligings- en compliance-rapportages in een administratie.Compliance en assurance4 januari 2022 15:37:29Registreren reguliere rapportages in administratie
    CLD_U.13.03Norm2.1Actueel17 januari 202229 oktober 2021ServicecomponentenUitvoeringGedrag
    • Focus Group on Cloud Computing Technical Report Part 5 - Cloud security 2012: II.2.3
    Voor orkestratie van cloud-services is de volgende informatie benodigd:
    • de Cloud Service Consumer (CSC)-identiteit;
    • de bedrijfsrelatie van de CSC binnen het cloud-netwerk;
    • het IP-adres van de CSC.
    Service-orkestratie17 januari 2022 13:42:55Zorgen voor benodigde informatie voor orkestratie van cloudservices
    CLD_C.02.04Norm2.1Actueel4 januari 202229 oktober 2021Gemonitord en gereviewdControlIntentie
  • NEN-ISO/IEC 27005:2018 (Information security risk management): 12.1
  • De Cloud Service Provider (CSP) voert regelmatig de monitoringsactiviteiten uit en mitigeert de vastgestelde risico’s.Risico-control4 januari 2022 15:25:26Uitvoeren monitoringsactiviteiten en mitigeren risico’s
    CLD_C.02.02Norm2.1Actueel12 november 202129 oktober 2021Gemonitord en gereviewdControlIntentie
    • NEN-ISO/IEC 27005:2018 (Information security risk management): 12.1
    Vastgestelde risico’s dienen in relatie met de factoren: waarde van de assets, dreigingen, zwakheden, kans op voorkomen en impact te worden gemonitord en geëvalueerd, om een compleet risicobeeld te behouden en tijdig veranderingen vast te (kunnen) stellen.Risico-control12 november 2021 12:57:25Monitoren en evalueren risico’s voor behouden risicobeeld en tijdige vaststelling van veranderingen
    CLD_B.10.04Norm2.1Actueel6 december 202129 oktober 2021Taken, verantwoordelijkheden en bevoegdhedenBeleidStructuur
    • BIO (Baseline Informatiebeveiliging Overheid): 6.1.1
    De Cloud Service Provider (CSP) heeft de verantwoordelijkheden bij informatiebeveiliging voor het definiëren, coördineren en evalueren beschreven en toegewezen aan specifieke functionarissen.Beveiligingsorganisatie clouddiensten6 december 2021 14:32:41Benoemen functionarissen voor informatiebeveiliging en onderlinge relaties inzichtelijk maken
    CLD_B.07.05Norm2.1Actueel10 november 202129 oktober 2021Robuuste en beveiligde systeemketenBeleidFunctie
    • The Standard of Good Practice for Information Security 2018: TM1.5.1
    Er zijn gedocumenteerde standaarden en procedures om geavanceerde cyberaanvallen het hoofd te bieden.IT-functionaliteit10 november 2021 10:38:24Hebben van gedocumenteerde standaarden en procedures om hoofd te bieden tegen cyberaanvallen
    CLD_U.12.01Norm2.1Actueel11 november 202129 oktober 2021NetwerkconnectiesUitvoeringGedrag
    • BIO (Baseline Informatiebeveiliging Overheid): 13.1.2.4
    In koppelpunten met externe of onvertrouwde zones zijn maatregelen getroffen om mogelijke aanvallen die de beschikbaarheid van de informatievoorziening negatief beïnvloeden (bijvoorbeeld Distributed Denial of Service attacks (DDos)-aanvallen) te signaleren en hierop te reageren.Koppelvlakken11 november 2021 14:37:26Treffen maatregelen in koppelpunten met externe of onvertrouwde zones
    CLD_B.08.06Norm2.1Actueel6 december 202129 oktober 2021BedrijfscontinuïteitsplanningBeleidFunctie
    • Cloud Computing Compliance Criteria Catalogue - C5:2020: BCM-03
    De Cloud Service Provider (CSP) beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit waarin onder andere aandacht wordt besteed aan:
    • definiëren van de scope waarbij rekening wordt gehouden met de afhankelijkheden;
    • toegankelijkheid van deze plannen voor verantwoordelijke functionarissen;
    • toewijzen van een verantwoordelijke voor de review, update en goedkeuring;
    • definiëren van communicatiekanalen;
    • herstelprocedures;
    • methode voor het implementeren van het bedrijfscontinuïteitsmanagement (BCM)-plan;
    • continu verbeteringsproces van het BCM-plan;
    • relaties met beveiligingsincidenten.
    Bedrijfscontinuïteitsmanagement6 december 2021 13:56:37Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteit
    CLD_U.07.01Norm2.1Actueel5 januari 202229 oktober 2021GeïsoleerdUitvoeringFunctie
  • CIP-netwerk
  • Permanente isolatie van gegevens wordt gerealiseerd binnen een multi-tenantarchitectuur. Patches en aanpassingen van applicaties en infrastructuur worden op een gecontroleerde wijze gerealiseerd voor alle clouddiensten die de Cloud Service Consumer (CSC) afneemt.Datascheiding5 januari 2022 15:41:07Permanente isolatie van gegevens binnen een multi-tenant architectuur
    CLD_B.10.01Norm2.1Actueel6 december 202129 oktober 2021BeveiligingsfunctieBeleidStructuur
    • The Standard of Good Practice for Information Security 2018: SM2.1.2
    De beveiligingsfunctie, die geleid wordt door een Chief Security Officer (CSO), ondersteunt de Cloud Service Provider (CSP) voor het bewerkstelligen en promoten van het cloud-beveiligingsbeleid door het:
    • ontwikkelen en onderhouden van een beveiligingsstrategie en het -beleid;
    • ontwikkelen van beveiligingsstandaarden, procedures en richtlijnen;
    • definiëren van een set beveiligingsdiensten;
    • coördineren van beveiliging door de gehele organisatie;
    • monitoren van de effectiviteit van clouddienstreglementen;
    • bieden van overzicht van en het doen van onderzoeken naar beveiligingsdiensten.
    Beveiligingsorganisatie clouddiensten6 december 2021 14:28:50Bewerkstelligen en promoten cloudbeveiligingsbeleid
    CLD_U.14.01Norm2.1Actueel6 januari 202229 oktober 2021InteroperabiliteitUitvoeringGedrag
  • Cloud Computing Compliance Criteria Catalogue - C5:2020: PI-01
  • Om de interoperabiliteit van cloud-services te garanderen, zijn gegevens beschikbaar conform erkende industrie-standaarden en gedocumenteerde invoer- en uitvoerinterfaces.Interoperabiliteit en portabiliteit6 januari 2022 11:20:12Hebben beschikbare gegevens om interoperabiliteit van cloudservices te garanderen
    CLD_U.09.03Norm2.1Actueel6 januari 202229 oktober 2021Detectie, preventie en herstelUitvoeringFunctie
    • BIO (Baseline Informatiebeveiliging Overheid): 12.2.1.5
    • NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging): 12.2.1g.1 en 2
    De malwareprotectie wordt op verschillende omgevingen uitgevoerd, zoals op mailservers, (desktop)computers en bij de toegang tot het netwerk van de organisatie. De scan op malware omvat onder andere:
    • alle bestanden die via netwerken of via elke vorm van opslagmedium zijn ontvangen, nog voor het gebruik;
    • alle bijlagen en downloads nog voor het gebruik;
    • virtuele machines;
    • netwerkverkeer.
    Malwareprotectie clouddiensten6 januari 2022 09:36:27Uitvoeren malware-bescherming op verschillende omgevingen en bij toegang tot netwerk van organisatie
    CLD_U.16.01Norm2.1Actueel11 november 202129 oktober 2021SamenhangUitvoeringStructuur
  • CIP-netwerk
  • De architectuur specificeert ten minste het volgende:
    • IT-services in relatie met functionaliteit voor bedrijfsprocessen;
    • het vertrouwensniveau van de beveiliging van de clouddiensten;
    • de beschrijving van de infrastructuur, netwerk- en systeemcomponenten die worden gebruikt voor de ontwikkeling en de werking van de cloud-service(s);
    • rollen en verantwoordelijkheden van de CSP en de CSC, inclusief de plichten om samen te werken en de bijbehorende controles bij de CSC;
    • IT-functies die door de CSP zijn toegewezen of uitbesteed aan onderaannemers.
    Clouddienstenarchitectuur11 november 2021 15:05:14Specificeren minimale zaken voor architectuur
    CLD_B.01.04Norm2.1Actueel6 december 202129 oktober 2021Wettelijke, statutaire en regelgevende eisenBeleidIntentie
  • NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services): 18.1.1
  • De Cloud Service Provider (CSP) voorziet de Cloud Service Consumer (CSC) van zekerheid (op bewijs gebaseerde compliancy-rapportage) over (het voldoen aan) de van toepassing zijnde wettelijke eisen en contractuele vereisten.Wet- en regelgeving Clouddiensten6 december 2021 11:15:44Voorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereisten
    CLD_C.04.01Norm2.1Actueel5 januari 202229 oktober 2021Technische kwetsbaarhedenControlFunctie
    • NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services): 12.6.1
    De Cloud Service Provider (CSP) stelt de Cloud Service Consumer (CSC) informatie beschikbaar over het beheer van de technische kwetsbaarheden die de clouddiensten kunnen beïnvloeden.Technische kwetsbaarhedenbeheer clouddiensten5 januari 2022 07:45:30Beschikbaar stellen informatie over beheer van technische kwetsbaarheden
    CLD_C.06.02Norm2.1Actueel5 januari 202229 oktober 2021Taken, verantwoordelijkheden en bevoegdhedenControlStructuur
    • CIP-netwerk
    De Cloud Service Provider (CSP) heeft de taken en verantwoordelijkheden voor de uitvoering van de beheer(s)werkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix.Beheersorganisatie clouddiensten5 januari 2022 08:32:06Beschrijven taken, verantwoordelijkheden en bevoegdheden voor uitvoeren beheer(s)werkzaamheden
    CLD_C.01.03Norm2.1Actueel12 november 202129 oktober 2021Controle-activiteiten en rapportagesControlIntentie
    • CIP-netwerk
    De Cloud Service Provider (CSP) beschikt voor clouddiensten over richtlijnen voor het:
    • uitvoeren van controle-activiteiten, waaronder penetratie- en kwetsbaarheidstesten;
    • evalueren van en rapporteren over de performance, conformance en leveringsprestaties.
    Servicemanagementbeleid en evaluatierichtlijn4 januari 2022 15:15:36Richtlijnen voor uitvoeren controle-activiteiten en evalueren van en rapporteren over prestaties
    CLD_B.08.03Norm2.1Actueel6 december 202129 oktober 2021Verantwoordelijkheid voor BCMBeleidFunctie
  • Cloud Computing Compliance Criteria Catalogue - C5:2020: BCM-01
  • Het management van de Cloud Service Provider (CSP) committeert zich aan de vastgestelde bedrijfscontinuïteitsmanagement (BCM)-vereisten.Bedrijfscontinuïteitsmanagement6 december 2021 13:44:57Committeren aan vastgestelde BCM-vereisten
    CLD_B.08.08Norm2.1Actueel6 december 202129 oktober 2021Verificatie en updatenBeleidFunctie
    • Cloud Computing Compliance Criteria Catalogue - C5:2020: BCM-04
    Bij het testen wordt aandacht besteed aan de beïnvloeding van Cloud Service Consumers (CSC’s) (tenants) en derde partijen.Bedrijfscontinuïteitsmanagement6 december 2021 13:59:45Besteden aandacht aan beïnvloeden van CSC’s (tenants) en derde partijen bij testen
    CLD_U.13.01Norm2.1Actueel17 januari 202229 oktober 2021CoördinatieUitvoeringGedrag
    • CIP-netwerk
    Cloud-orkestratietechnologie functioneert met heterogene systemen en mogelijk wereldwijde cloud-implementatie (op verschillende geografische locaties en met verschillende Cloud Service Providers (CSP’s)).Service-orkestratie17 januari 2022 13:45:31Functioneren orkestratietechnologie met heterogene systemen en mogelijk wereldwijde cloud-implementatie
    CLD_U.06.01Norm2.1Actueel5 januari 202229 oktober 2021BewaartermijnUitvoeringFunctie
    • NEN-EN-ISO/IEC 27040:2016 (Storage security): 6.7.1
    De gegarandeerde en met de Cloud Service Provider (CSP) overeengekomen opslagduur is contractueel vastgelegd en voldoet aan de Archiefwet.Dataretentie en gegevensvernietiging5 januari 2022 15:21:48Vastleggen gegarandeerde overeengekomen opslagduur en voldoen aan Archiefwet
    CLD_C.04.02Norm2.1Actueel5 januari 202229 oktober 2021Technische kwetsbaarhedenControlFunctie
    • NEN-ISO/IEC 27002: 12.6.1a
    De Cloud Service Provider (CSP) heeft de rollen en verantwoordelijkheden in relatie tot het beheersen van technische kwetsbaarheden, waaronder coördineren, monitoren, beoordelen van risico’s en mitigeren van kwetsbaarheden, gedefinieerd en vastgesteld.Technische kwetsbaarhedenbeheer clouddiensten5 januari 2022 07:47:00Definiëren en vaststellen rollen en verantwoordelijkheden
    CLD_B.09.01Norm2.1Actueel12 november 202129 oktober 2021Beveiligingsaspecten en stadiaBeleidGedrag
    • Cybersecurity Framework Version 1.1: PR.DS-1, PR.DS-2
    Voor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.Privacy en bescherming persoonsgegevens clouddiensten12 november 2021 13:45:18Treffen maatregelen voor opslag, verwerking en transport van data
    CLD_B.03.01Norm2.1Actueel6 december 202129 oktober 2021BepalingenBeleidIntentie
    • Cloud Computing Compliance Criteria Catalogue - C5:2020: PI-02
    De Cloud Service Consumer (CSC) legt in de overeenkomst een aantal bepalingen over de exit-regeling vast, zoals:
    • De exit-bepaling geldt zowel bij het einde van de overeenkomst als om valide redenen aangedragen door de CSC (zie conformiteitsindicator Condities).
    • De overeenkomst (en eventuele verwerkersovereenkomst) duurt voort totdat de exit-regeling helemaal is uitgevoerd.
    • De opzegtermijn geeft voldoende tijd om te kunnen migreren.
    • Data en configuratiegegevens (indien relevant) mogen pas na succesvolle migratie verwijderd worden.
    • Door een onafhankelijke partij wordt gecontroleerd en vastgesteld dat alle data is gemigreerd.
    • De exit-regeling wordt aangepast/anders ingevuld als de software die gebruikt wordt voor de clouddienst is gewijzigd.
    Exit-strategie clouddiensten6 december 2021 12:49:17Vastleggen bepalingen over exit-regeling
    CLD_U.03.01Norm2.1Actueel29 oktober 20215 januari 2022RedundantieUitvoeringFunctie
  • NEN-ISO/IEC 27002: 17.2.1
  • De overeengekomen continuïteit wordt gewaarborgd door voldoende logisch of fysiek meervoudig uitgevoerde systeemfuncties.Bedrijfscontinuïteitsservices5 januari 2022 14:48:33Waarborgen continuïteit door voldoende logische of fysieke meervoudig uitgevoerde systeemfuncties
    CLD_U.01.02Norm2.1Actueel5 januari 202229 oktober 2021Internationale standaardenUitvoeringIntentie
    • NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services): 2.1
    De Cloud Service Provider (CSP) treft beveiligingsmaatregelen gebaseerd op internationale standaarden, zoals: Standaarden voor clouddiensten5 januari 2022 14:17:47Treffen beveiligingsmaatregelen op basis van internationale standaarden
    CLD_U.15.04Norm2.1Actueel11 november 202129 oktober 2021Gebeurtenissen geregistreerdUitvoeringGedrag
  • CIP-netwerk
  • Aan logboeken en bewaking worden strenge eisen gesteld. Voor de kritieke componenten zijn geavanceerde beveiligingen voor logboeken en bewaking gedefinieerd.Logging en monitoring clouddiensten11 november 2021 14:55:41Stellen eisen aan logboeken en bewaking
    CLD_C.05.06Norm2.1Actueel12 november 202129 oktober 2021Gemonitord en gerapporteerdControlGedrag
    • ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen: 07.11
    De beveiligingsplannen worden periodiek geactualiseerd en toegewezen aan de hiervoor verantwoordelijke functionarissen.Security-monitoringsrapportage12 november 2021 13:35:35Actualiseren beveiligingsplannen en toewijzen aan verantwoordelijken
    CLD_B.09.08Norm2.1Actueel6 december 202129 oktober 2021LocatieBeleidGedrag
    • NEN-ISO/IEC 27018:2014 (Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors): A.12.1
    De Cloud Service Provider (CSP) specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen.Privacy en bescherming persoonsgegevens clouddiensten6 december 2021 14:19:58Specificeren en documenteren opslag op welke locatie data
    CLD_U.15.03Norm2.1Actueel17 januari 202229 oktober 2021Gebeurtenissen geregistreerdUitvoeringGedrag
    • CIP-netwerk
    De Cloud Service Provider (CSP) hanteert een lijst van alle activa die kritisch zijn in termen van logging en monitoring en beoordeelt deze lijst regelmatig op correctheid.Logging en monitoring clouddiensten17 januari 2022 13:56:57Hanteren en beoordelen lijst van alle kritische activa
    CLD_U.03.02Norm2.1Actueel5 januari 202229 oktober 2021ContinuïteitseisenUitvoeringFunctie
    • NEN-ISO/IEC 27002: 17.2.1
    De met de Cloud Service Consumer (CSC)-organisatie overeengekomen continuïteitseisen voor cloud-services wordt gewaarborgd door specifieke in de systeemarchitectuur beschreven maatregelen.Bedrijfscontinuïteitsservices5 januari 2022 14:50:32Waarborgen van continuïteitseisen door specifieke in systeemarchitectuur beschreven maatregelen
    CLD_B.05.04Norm2.1Actueel6 december 202129 oktober 2021CertificatenBeleidIntentie
    • Cloud Computing Compliance Criteria Catalogue - C5:2020: BC-06
    De Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie over het beschikbaar zijn van valide certificaten.Transparantie6 december 2021 13:16:37SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificaten
    CLD_B.03.02Norm2.1Actueel6 december 202129 oktober 2021ConditiesBeleidIntentie
    • CIP-netwerk
    De Cloud Service Consumer (CSC) kan buiten het verstrijken van de contractperiode besluiten over te gaan tot exit als sprake is van aspecten die gerelateerd zijn aan:
    • Contracten:
      • niet beschikbaarheid zijn van afgesproken performance;
      • eenzijdige wijziging door de Cloud Service Provider (CSP) van de Service Level Agreement (SLA);
      • prijsverhoging.
    • Geleverde prestatie/ondersteuning:
      • onvoldoende compensatie voor storingen;
      • niet leveren van de afgesproken beschikbaarheid of performance;
      • gebrekkige support.
    • Clouddienst(en):
      • nieuwe eigenaar of nieuwe strategie;
      • end-of-life van clouddienst(en);
      • achterwege blijvende features.
    Exit-strategie clouddiensten6 januari 2022 15:17:01Overgaan tot exit buiten verstrijken contractperiode
    CLD_C.05.03Norm2.1Actueel12 november 202129 oktober 2021Gemonitord en gerapporteerdControlGedrag
  • The Standard of Good Practice for Information Security 2018: S12.1.5
  • Het monitoren van informatiebeveiliging en rapportages vindt plaats met:
    • het verzamelen van informatie uit interne en externe bronnen;
    • het inzicht door verzamelde informatie uit de combinatie van Key Performance Indicators (KPI’s) en Key Risk Indicators (KRI’s).
    Security-monitoringsrapportage12 november 2021 13:32:34Monitoren informatiebeveiliging en rapportages op basis van verzamelde informatie en inzicht
    CLD_B.09.05Norm2.1Actueel6 december 202129 oktober 2021Classificatie/labelenBeleidGedrag
  • Cloud Computing Compliance Criteria Catalogue - C5:2020: AM-06
  • De Cloud Service Provider (CSP) past een uniforme classificatie toe voor informatie en middelen die relevant is voor de ontwikkeling en het aanbieden van clouddiensten.Privacy en bescherming persoonsgegevens clouddiensten6 december 2021 14:11:08Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddiensten
    CLD_U.04.02Norm2.1Actueel11 november 202129 oktober 2021HerstelfunctieUitvoeringFunctie
    • CIP-netwerk
    Het continue proces van herstelbaar beveiligen van data wordt gemonitord.Herstelfunctie voor data en clouddiensten11 november 2021 09:53:09Monitoren proces van herstelbaar beveiligen van data
    CLD_C.01.02Norm2.1Actueel4 januari 202229 oktober 2021RichtlijnenControlIntentie
    • CIP-netwerk
    De Cloud Service Provider (CSP) heeft relevante beheerprocessen beschreven en effectief ingericht conform een vastgestelde cyclus, waaronder: registratie, statusmeting, monitoring, analyse, rapportage en evaluatie.Servicemanagementbeleid en evaluatierichtlijn4 januari 2022 15:14:12Beschrijven en inrichten relevante beheerprocessen
    CLD_C.04.05Norm2.1Actueel5 januari 202229 oktober 2021Technische kwetsbaarhedenControlFunctie
    • The Standard of Good Practice for Information Security 2018: TM1.1.7
    Periodiek worden penetratietests op ICT-componenten uitgevoerd om zwakheden te identificeren.Technische kwetsbaarhedenbeheer clouddiensten5 januari 2022 07:56:20Uitvoeren penetratietests op ICT-componenten
    CLD_B.07.01Norm2.1Actueel10 november 202129 oktober 2021IT-functionaliteitenBeleidFunctie
    • CIP-netwerk
    Voor de beveiliging van IT-functionaliteiten (verwerking, opslag, transport en opvraag van informatie) zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.IT-functionaliteit10 november 2021 10:36:03Treffen maatregelen voor beveiliging IT-functionaliteiten
    CLD_B.09.06Norm2.1Actueel12 november 202129 oktober 2021EigenaarschapBeleidGedrag
    • CIP-netwerk
    Het eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld.Privacy en bescherming persoonsgegevens clouddiensten12 november 2021 13:49:01Vaststellen eigenaarschap van middelen die deel uitmaken van clouddiensten
    CLD_B.02.01Norm2.1Actueel17 januari 202229 oktober 2021CloudbeveiligingsstrategieBeleidIntentie
    • The Standard of Good Practice for Information Security 2018: SG2.1.2
    De cloudbeveiligingsstrategie van de Cloud Service Provider (CSP) geeft aan op welke wijze zij de bedrijfsdoelstellingen van Cloud Service Consumer (CSC)(’s) ondersteunt door onder andere te beschrijven:
    • een evenwichtige set van beveiligingsmaatregelen, waarin aandacht wordt besteed aan risicomanagement;
    • hoe (functioneel) cloud-beveiliging de weerbaarheid tegen hoge impactincidenten bewerkstelligt.
    Cloudbeveiligingsstrategie17 januari 2022 10:06:26Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteunt
    CLD_U.15.05Norm2.1Actueel17 januari 202229 oktober 2021Gebeurtenissen geregistreerdUitvoeringGedrag
  • CIP-netwerk
  • De toegang tot en het beheer van de loggings- en monitoringsfunctionaliteit is beperkt tot geselecteerde en geautoriseerde medewerkers van de Cloud Service Provider (CSP).Logging en monitoring clouddiensten17 januari 2022 13:58:43Beperken toegang tot en beheer van loggings- en monitoringsfunctionaliteit tot CSP-medewerkers
    CLD_U.17.01Norm2.1Actueel17 januari 202229 oktober 2021VersleuteldUitvoeringStructuur
    • Focus Group on Cloud Computing Technical Report Part 5 - Cloud security: S12
    Cloud Service Consumer (CSC)-data op transport en in rust is versleuteld.Multi-tenantarchitectuur17 januari 2022 15:01:20Versleutelen CSC-data op transport en in rust
    CLD_U.11.03Norm2.1Actueel17 januari 202229 oktober 2021VersleuteldUitvoeringGedrag
    • Cloud Computing Compliance Criteria Catalogue - C5:2020: KRY-03
    Gevoelige data (op transport en in rust) is altijd versleuteld, waarbij private sleutels in beheer zijn bij de Cloud Service Consumer (CSC). Het gebruik van een private sleutel door de Cloud Service Provider (CSP) is gebaseerd op een gecontroleerde procedure en moet gezamenlijk worden overeengekomen met de CSC-organisatie.Cryptoservices17 januari 2022 16:06:01Versleutelen gevoelige data en private-sleutelgebruik baseren op gecontroleerde overeengekomen procedure
    CLD_C.04.06Norm2.1Actueel12 november 202129 oktober 2021Technische kwetsbaarhedenControlFunctie
    • The Standard of Good Practice for Information Security 2018: TM1.1.9
    Technische zwakheden kunnen worden verholpen door het tijdig uitvoeren van patchmanagement, wat inhoud:
    • het identificeren, registreren en verwerven van patches;
    • de besluitvorming rond het inzetten van patches;
    • het testen van patches;
    • het uitvoeren van patches;
    • het registreren van doorgevoerde patches.
    Technische kwetsbaarhedenbeheer clouddiensten12 november 2021 13:19:20Verhelpen technische zwakheden door patchmanagement
    CLD_U.17.03Norm2.1Actueel11 november 202129 oktober 2021GehardendeUitvoeringStructuur
  • Focus Group on Cloud Computing Technical Report Part 5 - Cloud security: S12
  • Virtuele machine platforms zijn gehardend.Multi-tenantarchitectuur11 november 2021 15:09:32Hardenen virtuele machine-platforms
    CLD_C.06.03Norm2.1Actueel12 november 202129 oktober 2021FunctionarissenControlStructuur
    • CIP-netwerk
    De belangrijkste functionarissen (stakeholders) voor de beheersingsorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.Beheersorganisatie clouddiensten12 november 2021 13:39:48Benoemen functionarissen voor beheersingsorganisatie en inzichtelijk maken onderlinge relaties
    CLD_U.06.04Norm2.1Actueel5 januari 202229 oktober 2021VernietigdUitvoeringFunctie
    • NEN-EN-ISO/IEC 27040:2016 (Storage security): 6.7.1
    Voorafgaand aan het voor onderhoudsdoeleinden wijzigen van opslagmedia, wordt de data van de Cloud Service Consumer (CSC), inclusief de back-up van gegevens en metadata veilig gewist of vernietigd.Dataretentie en gegevensvernietiging5 januari 2022 15:25:34Wissen of vernietigen CSC-data voorafgaand aan voor onderhoudsdoeleinden wijzigen van opslagmedia
    CLD_B.06.02Norm2.1Actueel6 december 202129 oktober 2021VerantwoordelijkhedenBeleidIntentie
    • NEN-ISO/IEC 27005:2018 (Information security risk management): 7.4
    De organisatie van het risicomanagementproces is goedgekeurd door managers van de Cloud Service Provider (CSP).Risicomanagement6 december 2021 13:25:16Goedkeuren organisatie van risicomanagementproces
    CLD_B.08.09Norm2.1Actueel6 december 202129 oktober 2021ComputercentraBeleidFunctie
    • CIP-netwerk
    De voorzieningen van de computercentra zijn veilig gesteld en worden gemonitord (bewaakt), onderhouden en regelmatig getest.Bedrijfscontinuïteitsmanagement6 december 2021 14:01:18Veiligstellen, monitoren, onderhouden en testen computercentra-voorzieningen
    CLD_B.01.01Norm2.1Actueel6 december 202129 oktober 2021Wettelijke, statutaire en regelgevende eisenBeleidIntentie
    • NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services): 18.1.1
    De Cloud Service Provider (CSP) informeert de Cloud Service Consumer (CSC) welke wet- en regelgeving van toepassing is op clouddiensten.Wet- en regelgeving Clouddiensten6 december 2021 11:10:16Informeren welke wet- en regelgeving van toepassing is op clouddiensten
    CLD_U.02.02Norm2.1Actueel11 november 202129 oktober 2021Risico-evaluatieUitvoeringIntentie
    • NEN-ISO/IEC 27005:2018 (Information security risk management): 8.4
    De geïdentificeerde risico’s worden geëvalueerd met risico-acceptatiecriteria.Risico-assessment11 november 2021 09:36:49Evalueren risico’s op basis van risico-acceptatiecriteria
    CLD_B.06.03Norm2.1Actueel10 november 202129 oktober 2021RisicomanagementprocesBeleidIntentie
    • NEN-ISO 31000:2018 (Risicomanagement - Richtlijnen): 6.1
    Het risicomanagementproces is systematisch beschreven met aandacht voor beleid, procedures en richtlijnen voor activiteiten over communiceren, adviseren, vaststellen van de context van onderzoeken, behandelen, monitoren, reviewen, vastleggen en rapporteren van risico’s.Risicomanagement10 november 2021 10:31:42Beschrijven risicomanagementproces
    CLD_U.12.06Norm2.1Actueel6 januari 202229 oktober 2021BewaaktUitvoeringGedrag
    • Cloud Computing Compliance Criteria Catalogue - C5:2020: COS-01
    De Cloud Service Provider (CSP) heeft Intrusion Detection Prevention (IDP) en Intrusion Detection System (IDS) geïntegreerd in een allesomvattend Security Information and Event Management (SIEM), zodat beveiligingsgebeurtenissen en onbekende apparatuur vanuit de benodigde technische maatregelen worden opgemerkt en correctieve maatregelen kunnen worden genomen.Koppelvlakken6 januari 2022 13:25:17Integreren Intrusion Detection Prevention en Intrusion Detection System in SIEM
    CLD_B.10.05Norm2.1Actueel10 november 202129 oktober 2021Taken, verantwoordelijkheden en bevoegdhedenBeleidStructuur
    • CIP-netwerk
    De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix.Beveiligingsorganisatie clouddiensten10 november 2021 10:53:35Toewijzen verantwoordelijkheden voor definiëren, coördineren en evalueren van informatiebeveiliging
    CLD_U.06.02Norm2.1Actueel17 januari 202229 oktober 2021Technologie-onafhankelijk, raadpleegbaarUitvoeringFunctie
    • NEN-EN-ISO/IEC 27040:2016 (Storage security): 6.7.1
    Gegevens zijn onafhankelijk van de door de Cloud Service Provider (CSP) toegepaste technologie raadpleegbaar tijdens de gehele bewaartermijn.Dataretentie en gegevensvernietiging17 januari 2022 15:42:40Raadplegen gegevens, onafhankelijk van technologie gedurende bewaartermijn
    CLD_C.01.01Norm2.1Actueel4 januari 202229 oktober 2021RichtlijnenControlIntentie
    • CIP-netwerk
    De Cloud Service Provider (CSP) beschikt voor clouddiensten over richtlijnen voor de inrichting van de service-managementorganisatie.Servicemanagementbeleid en evaluatierichtlijn4 januari 2022 15:13:13Beschikken over richtlijnen voor inrichting van service-management-organisatie
    CLD_C.05.01Norm2.1Actueel12 november 202129 oktober 2021Gemonitord en gerapporteerdControlGedrag
    • The Standard of Good Practice for Information Security 2018: S12.1.1
    Richtlijnen en afspraken voor het monitoren en rapporteren over informatiebeveiliging van de cloud-omgeving zijn vastgesteld en worden toegepast.Security-monitoringsrapportage12 november 2021 13:31:06Vaststellen en toepassen richtlijnen en afspraken voor monitoren en rapporteren
    CLD_B.09.04Norm2.1Actueel12 november 202129 oktober 2021Classificatie/labelenBeleidGedrag
    • Cloud Controls Matrix (CCM): DSI-03
    Data gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data.Privacy en bescherming persoonsgegevens clouddiensten12 november 2021 13:47:34Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerken
    CLD_B.01.06Norm2.1Actueel6 december 202129 oktober 2021AanpakBeleidIntentie
    • ISO 27002 2017: 18.1.1
    De Cloud Service Provider (CSP) heeft, om aan de eisen van de Cloud Service Consumer (CSC) te kunnen voldoen, alle wet- en regelgeving die op haar van toepassing is op de clouddienstverlening vastgesteld.Wet- en regelgeving Clouddiensten6 december 2021 11:18:26Vaststellen alle van toepassing zijnde wet- en regelgeving
    CLD_C.04.08Norm2.1Actueel5 januari 202229 oktober 2021GeëvalueerdControlFunctie
    • ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen: C.03.04
    De evaluatierapportages bevatten verbeteringsvoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van ICT-componenten waarin kwetsbaarheden en zwakheden gevonden zijn.Technische kwetsbaarhedenbeheer clouddiensten5 januari 2022 08:01:15Communiceren verbeteringsvoorstellen uit evaluatierapportages en communiceren met de verantwoordelijken
    CLD_U.12.07Norm2.1Actueel6 januari 202229 oktober 2021BeheerstUitvoeringGedrag
    • BIO (Baseline Informatiebeveiliging Overheid): 13.1.2.2
    Bij ontdekte nieuwe dreigingen worden deze, rekening houdend met geldende juridische kaders, verplicht gedeeld binnen de overheid, waaronder met het Nationaal Cyber Security Centrum (NCSC) (alleen voor rijksoverheidsorganisaties) of de sectorale Computer Emergency Response Team (CERT), bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing).Koppelvlakken6 januari 2022 13:28:49Delen nieuwe dreigingen binnen overheid
    CLD_U.10.05Norm2.1Actueel6 januari 202229 oktober 2021BevoegdUitvoeringGedrag
    • CIP-netwerk
    Toegang tot IT-diensten en data is beperkt door technische maatregelen en is geïmplementeerd, bijvoorbeeld met het rollen- en rechtenconcept.Toegang IT-diensten en data6 januari 2022 15:47:04Beperken toegang tot IT-diensten en data door technische maatregelen en implementeren
    CLD_B.10.07Norm2.1Actueel10 november 202129 oktober 2021RapportagelijnenBeleidStructuur
    • Trust services document
    De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld.Beveiligingsorganisatie clouddiensten10 november 2021 10:55:04Vaststellen verantwoordings- en rapportagelijnen tussen betrokken functionarissen
    CLD_U.17.02Norm2.1Actueel17 januari 202229 oktober 2021GescheidenUitvoeringStructuur
    • Focus Group on Cloud Computing Technical Report Part 5 - Cloud security: S12
    Virtuele machine platforms voor Cloud Service Consumers (CSC’s) met speciale/verhoogde beveiligingsvereisten zijn gescheiden ingericht.Multi-tenantarchitectuur17 januari 2022 15:02:24Gescheiden inrichten virtuele machine-platforms voor CSC’s
    CLD_B.06.01Norm2.1Actueel6 december 202129 oktober 2021VerantwoordelijkhedenBeleidIntentie
    • NEN-ISO/IEC 27005:2018 (Information security risk management): 7.4
    De verantwoordelijkheden van de Cloud Service Provider (CSP) zijn onder andere het:
    • ontwikkelen van het risicomanagementproces voor informatiebeveiliging dat toegespitst is op de omgeving van de CSP;
    • identificeren van analyses van de stakeholders;
    • definiëren van de rollen en verantwoordelijkheden van in- en externe partijen;
    • vaststellen van de vereiste relaties tussen de eigen organisatie en stakeholders en de relatie met de hoog niveau risicomanagementfunctie en met relevante projecten of activiteiten.
    Risicomanagement6 december 2021 13:24:16Hebben CSP-verantwoordelijkheden
    CLD_U.09.02Norm2.1Actueel6 januari 202229 oktober 2021BeheersmaatregelenUitvoeringFunctie
  • CIP-netwerk
  • De Cloud Service Provider (CSP) heeft de voor ontwikkeling en exploitatie van clouddiensten gebruikte IT-systemen en netwerkperimeters waarvoor zij verantwoordelijk is, uitgerust met tools ter bescherming en verwijdering van malware.Malwareprotectie clouddiensten6 januari 2022 09:29:55Uitrusten voor ontwikkeling en exploitatie van clouddiensten gebruikte IT-systemen en netwerkperimeter
    CLD_U.13.02Norm2.1Actueel17 januari 202229 oktober 2021ServicecomponentenUitvoeringGedrag
    • CIP-netwerk
    De functionele samenhang van de servicecomponenten is beschreven.Service-orkestratie17 januari 2022 13:41:27Beschrijven functionele samenhang van service-componenten
    CLD_U.10.01Norm2.1Actueel6 januari 202229 oktober 2021GebruikersUitvoeringGedrag
    • CIP-netwerk
    De Cloud Service Provider (CSP) biedt de Cloud Service Consumer (CSC) uitsluitend toegang tot services, IT-diensten en data waarvoor zij specifiek bevoegd is, waarbij:
    • Technische maatregelen voorkomen dat gebruikers en beheerders toegang hebben tot services, IT-diensten en data buiten datgene wat formeel is toegestaan.
    • Gebruikers met nood-toegangsrechten (tijdens calamiteiten, wanneer acties niet door bevoegde beheerders kunnen worden uitgevoerd) zijn gedocumenteerd door het management geaccordeerd en wordt uitgevoerd met functiescheiding. Noodtoegang is geactiveerd zolang als nodig is voor de corresponderende taak/taken.
    Toegang IT-diensten en data6 januari 2022 09:51:41Bieden toegang tot bevoegde services, IT-diensten en data
    CLD_B.11.01Norm2.1Actueel5 januari 202229 oktober 2021RaamwerkBeleidStructuur
  • CIP-netwerk
  • Het raamwerk bevat de volgende aspecten:
    • beveiligingsbeleid van de Cloud Service Provider (CSP) met principes en wet- en regelgeving;
    • functioneel; typen en scope van de clouddiensten;
    • zoneringsmodel voor scheiding tussen Cloud service Consumers (CSC’s);
    • trust framework (afspraken en maatregelen ter bevordering van de vertrouwensrelatie);
    • Service Level Agreements (SLA’s) en valide certificaten;
    • risicomanagement.
    Clouddienstenarchitectuur5 januari 2022 13:57:43Bevatten diverse aspecten voor raamwerk
    CLD_U.14.02Norm2.1Actueel6 januari 202229 oktober 2021PortabiliteitUitvoeringGedrag
  • Cloud Computing Compliance Criteria Catalogue - C5:2020: PI-01
  • Om de portabiliteit van de data te garanderen, maakt de CSP gebruik van beveiligde netwerkprotocollen voor de import en export van data waarmee de integriteit en vertrouwelijkheid wordt gegarandeerd.Interoperabiliteit en portabiliteit6 januari 2022 11:22:25Gebruiken beveiligde netwerkprotocollen voor import en export van data
    CLD_C.02.01Norm2.1Actueel4 januari 202229 oktober 2021Gemonitord en gereviewdControlIntentie
    • NEN-ISO/IEC 27005:2018 (Information security risk management): 12.2
    De Cloud Service Provider (CSP) verifieert regelmatig de criteria die gebruikt worden om de risico’s te meten en om vast te stellen of ze steeds consistent zijn met de organisatiedoelstellingen, de strategie, het beleid en/of de context van de organisatie steeds in beschouwing worden genomen.Risico-control4 januari 2022 15:21:19Verifiëren van criteria voor risicometing en vaststelling consistentie van criteria
    CLD_U.05.01Norm2.1Actueel5 januari 202229 oktober 2021Cryptografische maatregelenUitvoeringFunctie
    • CIP-netwerk
    Gegevenstransport wordt naar de laatste stand der techniek beveiligd met cryptografie (conform Forum Standaardisatie), waarbij het sleutelbeheer zo mogelijk door de Cloud Service Consumer (CSC) zelf wordt uitgevoerd.Dataprotectie5 januari 2022 15:10:01‘State of the art’ beveiligen gegevenstransport met cryptografie, met zelf uitgevoerd sleutelbeheer
    CLD_C.02.05Norm2.1Actueel12 november 202129 oktober 2021Gemonitord en gereviewdControlIntentie
    • NEN-ISO/IEC 27005:2018 (Information security risk management): 12.2
    Bij het monitoren en reviewen worden onder andere de volgende elementen geadresseerd:
    • wet- en regelgeving en organisatorische/technische context;
    • risico-assessmentaanpak;
    • waarde assets en categorieën;
    • risico-evaluatiecriteria;
    • risico-acceptatiecriteria.
    Risico-control12 november 2021 13:00:08Adresseren diverse elementen bij monitoring en reviewen
    CLD_U.01.01Norm2.1Actueel17 januari 202229 oktober 2021Nationale standaardenUitvoeringIntentie
  • CIP-netwerk
  • De Cloud Service Provider (CSP) maakt haar dienstverlening transparant, zodat de Cloud Service Consumer (CSC) aantoonbaar aan de voor haar verplichte BIO en Pas-toe-of-leg-uit standaarden kan voldoen.Standaarden voor clouddiensten17 januari 2022 15:17:47Maken transparante dienstverlening
    CLD_B.05.02Norm2.1Actueel6 december 202129 oktober 2021JurisdictieBeleidIntentie
    • Cloud Computing Compliance Criteria Catalogue - C5:2020: BC-01
    De Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie van jurisdictie over dataopslag, verwerking en back-up-locatie, ook als deze (of delen hiervan) uitbesteed is aan subcontractors.Transparantie6 december 2021 13:13:37SLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatie
    CLD_B.07.04Norm2.1Actueel10 november 202129 oktober 2021Robuuste en beveiligde systeemketenBeleidFunctie
    • The Standard of Good Practice for Information Security 2018: BC1.3.1
    De infrastructuur wordt ingericht met betrouwbare hardware- en softwarecomponenten.IT-functionaliteit10 november 2021 10:37:53Inrichten infrastructuur met betrouwbare hardware- en software-componenten
    CLD_U.10.03Norm2.1Actueel6 januari 202229 oktober 2021GebruikersUitvoeringGedrag
    • BIO (Baseline Informatiebeveiliging Overheid): 9.1.2.1
    Alleen gebruikers met geauthentiseerde apparatuur kunnen toegang krijgen tot IT-diensten en data.Toegang IT-diensten en data6 januari 2022 10:18:48Krijgen toegang tot IT-diensten en data
    CLD_U.15.02Norm2.1Actueel17 januari 202229 oktober 2021Gebeurtenissen geregistreerdUitvoeringGedrag
    • BIO (Baseline Informatiebeveiliging Overheid): 12.4.1.5
    De Security Information and Event Management (SIEM) en/of Security Operation Centre (SOC) hebben heldere regels over wanneer een incident moet worden gerapporteerd aan het verantwoordelijk management.Logging en monitoring clouddiensten17 januari 2022 13:55:53Hebben SIEM- en/of SOC-regels over te rapporteren incident
    CLD_U.07.03Norm2.1Actueel11 november 202129 oktober 2021BeheerfunctiesUitvoeringFunctie
    • CIP-netwerk
    De bevoegdheden voor het inzien of wijzigen van Cloud Service Consumer (CSC)-data en/of van encryptiesleutels door beheerfuncties en beheerders worden gecontroleerd verleend en het gebruik van deze rechten wordt gelogd.Datascheiding5 januari 2022 15:46:08Verlenen bevoegdheden voor inzien of wijzigen en/of encryptiesleutels plus loggen rechtengebruik
    CLD_C.03.05Norm2.1Actueel12 november 202129 oktober 2021AssuranceControlIntentie
    • CIP-netwerk
    Bij de assessment wordt door de derde partij zowel de cloud-omgeving als de administratie betrokken.Compliance en assurance12 november 2021 13:07:06Betrekken cloud-omgeving en administratie bij assessment
    CLD_C.05.05Norm2.1Actueel5 januari 202229 oktober 2021Gemonitord en gerapporteerdControlGedrag
    • CIP-netwerk
    Aantoonbaar wordt opvolging gegeven aan verbetervoorstellen uit analyserapportages.Security-monitoringsrapportage5 januari 2022 08:18:32Opvolgen verbeteringsvoorstellen uit analyse-rapportages
    CLD_B.09.03Norm2.1Actueel12 november 202129 oktober 2021Classificatie/labelenBeleidGedrag
    • Cloud Controls Matrix (CCM): DSI-01
    Aan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op het datatype, de waarde, de gevoeligheid en het kritische gehalte voor de organisatie.Privacy en bescherming persoonsgegevens clouddiensten12 november 2021 13:46:52Toekennen classificatie aan data en middelen waarin/waarop zich data bevindt
    CLD_U.09.01Norm2.1Actueel6 januari 202229 oktober 2021BeheersmaatregelenUitvoeringFunctie
    • NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services): 15.1.2
    De Cloud Service Provider (CSP) specificeert, als onderdeel van de overeenkomst, welke maatregelen (voor onder andere malwareprotectie) op welke positie in de informatieketen van de Cloud Service Consumer (CSC) en CSP moeten worden genomen.Malwareprotectie clouddiensten6 januari 2022 09:23:43Specificeren welke maatregelen op welke positie in informatieketen moeten worden genomen
    CLD_B.09.02Norm2.1Actueel6 december 202129 oktober 2021Toegang en privacyBeleidGedrag
    • CIP-netwerk
    Ter bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, Data Privacy Impact Assessment (DPIA), sterke toegangsbeveiliging en encryptie.Privacy en bescherming persoonsgegevens clouddiensten6 december 2021 14:09:18Treffen maatregelen zoals data-analyse, DPIA, sterke toegangsbeveiliging en encryptie
    CLD_C.03.06Norm2.1Actueel4 januari 202229 oktober 2021AansluitingControlIntentie
    • CIP-netwerk
    De Cloud Service Provider (CSP) zorgt ervoor dat de uitkomsten uit de jaarlijkse assurance- rapportage (Third Party Mededeling (TPM)), de uitkomsten van de periodieke servicerapportages en de uitkomsten uit de continue compliance op het cloud-beveiligingsbeleid op elkaar aansluiten.Compliance en assurance4 januari 2022 15:42:18Aansluiten uitkomsten uit diverse rapportages e.d.
    CLD_B.01.02Norm2.1Actueel6 december 202129 oktober 2021Wettelijke, statutaire en regelgevende eisenBeleidIntentie
    • NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services): 18.1.1
    De Cloud Service Provider (CSP) identificeert haar eigen relevante wettelijke eisen (zoals Algemene Verordening Gegevensbescherming (AVG)-eisen en encryptietoepassing) om persoonsgegevens te kunnen beschermen.Wet- en regelgeving Clouddiensten6 december 2021 11:12:13Selecteren relevante wettelijke eisen ter bescherming van persoonsgegevens
    CLD_C.05.04Norm2.1Actueel5 januari 202229 oktober 2021Gemonitord en gerapporteerdControlGedrag
    • The Standard of Good Practice for Information Security 2018: S12.6
    Informatiebeveiligingsrapportages worden in samenhang met rapportages uit andere beheerdisciplines (compliance en assurance-management en vulnerability-management) geanalyseerd.Security-monitoringsrapportage5 januari 2022 08:13:37Analyseren informatiebeveiligingsrapportages in samenhang
    CLD_B.07.03Norm2.1Actueel6 december 202129 oktober 2021IT-functionaliteitenBeleidFunctie
    • Focus Group on Cloud Computing Technical Report Part 5 - Cloud security: 8.8
    De IT-infrastructuur wordt, om veilige clouddiensten te kunnen verlenen, continue bewaakt en beheerst ter bescherming tegen bedreigingen.IT-functionaliteit6 december 2021 13:33:34Bewaken en beheersen IT-infrastructuur
    CLD_B.10.02Norm2.1Actueel10 november 202129 oktober 2021BeveiligingsfunctieBeleidStructuur
    • The Standard of Good Practice for Information Security 2018: SM2.1.4
    De beveiligingsfunctie voorziet in proactieve ondersteuning van:
    • activiteiten van cloud-risicoassessment;
    • classificeren van informatie en systemen;
    • gebruik van encryptie;
    • beveiligen van gerelateerde projecten;
    • ontwikkelen van bedrijfscontinuïteitsprogramma en beveiligingsaudits.
    Beveiligingsorganisatie clouddiensten10 november 2021 10:51:19Voorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelen
    CLD_U.11.02Norm2.1Actueel11 november 202129 oktober 2021Cryptografische maatregelenUitvoeringGedrag
  • BIO (Baseline Informatiebeveiliging Overheid): 10.1.2.1
  • In geval van PKIoverheid-certificaten: hanteer de PKIoverheid-eisen ten aanzien van het sleutelbeheer. In overige situaties: hanteer de standaard ISO 11770 voor het beheer van cryptografische sleutels.Cryptoservices11 november 2021 14:34:10Hanteren PKI-overheidseisen en ISO 11770 voor sleutelbeheer
    CLD_BNormenkader-aspect2.1Actueel4 januari 202229 oktober 2021==Objecten, controls en maatregelen==

    De onderwerpen die specifiek voor clouddiensten in het beleidsdomein een rol spelen, zijn in afbeelding 'Overzicht objecten voor clouddiensten in het beleidsdomein' vermeld. Is een objectblok geel gekleurd, dan komt de bijbehorende control voor in de Baseline Informatiebeveiliging Overheid (BIO). Betreft het een wit gemarkeerd objectblok, dan heeft de BIO geen control gedefinieerd, maar is dit object wel noodzakelijk voor deze BIO Thema-uitwerking.


    ”Beveiligingsobjecten uitgewerkt voor het Beleidsdomein ingedeeld naar IFGS invalshoeken”
    Overzicht objecten voor clouddiensten in het beleidsdomein


    Per specifiek beveiligingsobject worden de control (hoofdnorm) en maatregelen (sub-normen) beschreven (zie Principes uit de BIO Thema Clouddiensten binnen dit aspect en Normen uit de BIO Thema Clouddiensten binnen dit aspect).
    Het doel van het beleidsdomein is de conditionele elementen te identificeren die randvoorwaardelijk zijn om clouddiensten te kunnen inrichten, beveiligen en beheersen.Als de juiste beleidsaspecten voor de inrichting en het onderhoud van clouddiensten ontbreken, bestaat het risico dat onvoldoende sturing wordt gegeven aan een veilige inrichting en exploitatie van deze diensten. Daardoor komt de informatievoorziening van de organisatie als geheel in gevaar en bestaat er een reële kans dat datalekken optreden. In Toelichting objecten in het beleidsdomein is per aandachtsgebied aangegeven welke risico’s relevant zijn.Beleid4 januari 2022 13:00:22Clouddiensten Beleid
    CLD_CNormenkader-aspect2.1Actueel10 januari 202228 oktober 2021==Objecten, controls en maatregelen==

    Afbeelding Overzicht objecten voor clouddiensten in het control-domein geeft de onderwerpen weer die specifiek voor het control-domein een rol spelen. Is een objectblok blauw gekleurd, dan komt de bijbehorende control voor in de Baseline Informatiebeveiliging Overheid (BIO). Betreft het een wit gemarkeerd objectblok, dan heeft de BIO geen control gedefinieerd, maar is dit object wel noodzakelijk voor deze BIO Thema-uitwerking.


    ”Beveiligingsobjecten uitgewerkt voor het Control domein-ingedeeld naar de invalshoeken”
    Overzicht objecten voor clouddiensten in het control-domein


    De objecten, voor clouddiensten, die specifiek binnen het control-domein een rol spelen, zijn in de overeenkomstige controls uitgewerkt (zie de tabel in Principes uit de BIO Thema Clouddiensten binnen dit aspect).
    Het doel van het control-domein is om vast te stellen in hoeverre:
    • controls voldoende zijn ingericht en functioneren om de beoogde beschikbaarheid, integriteit en vertrouwelijkheid van de clouddiensten te garanderen;
    • infrastructurele diensten, functioneel en technisch, op het afgesproken niveau worden gehouden.


    Dit houdt onder meer in dat binnen de CSP een adequate beheerorganisatie heeft ingericht, waarin de beheerprocessen zijn vormgegeven.
    Bij het ontbreken van de noodzakelijke maatregelen binnen de Cloud Service Provider (CSP) is het niet zeker of de ontwikkeling en het onderhoud van de IT-componenten aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat de governance van de clouddiensten toereikend is ingericht. Ook kan niet worden vastgesteld of de gewenste maatregelen worden nageleefd. In BIO Thema Clouddiensten - Cloudbeveiligingsobjecten binnen het control-domein is per aandachtsgebied aangegeven welke risico’s relevant zijn.Control10 januari 2022 14:36:10Clouddiensten Control
    CLD_UNormenkader-aspect2.1Actueel17 januari 202229 oktober 2020==Objecten, controls en maatregelen==

    Afbeelding 'Overzicht objecten voor clouddiensten in het uitvoeringsdomein' geeft de objecten weer die specifiek voor het uitvoeringsdomein een rol spelen. Is een objectblok oranje gekleurd, dan komt de bijbehorende control voor in de Baseline Informatiebeveiliging Overheid (BIO). Betreft het een wit gemarkeerd objectblok, dan heeft de BIO geen control gedefinieerd, maar is dit object wel noodzakelijk voor deze BIO Thema-uitwerking.


    ”Beveiligingsobjecten uitgewerkt voor het Uitvoeringsdomein ingedeeld naar IFGS invalshoeken”
    Overzicht objecten voor clouddiensten in het uitvoeringsdomein
    Het doel van het uitvoeringsdomein van clouddiensten is te waarborgen dat, overeenkomstig specifieke beleidsuitgangspunten, een betrouwbare en veilige dienstverlening geleverd wordt en dat de werking voldoet aan de eisen die door de CSC zijn gesteld.Als bij het aangaan of gedurende het toepassen van clouddiensten, adequate beveiligingsfuncties, het in de contracten benoemen van deze functies en de regie op naleving van de afspraken ontbreken, dan ontstaan continuïteitsrisico’s en mogelijk, datalekken of misbruik van gevoelige data. In Toelichting objecten in het uitvoeringsdomein is per aandachtsgebied aangegeven welke risico’s relevant zijn.Uitvoering17 januari 2022 15:13:55Clouddiensten Uitvoering