ISOR:BIO Thema Clouddiensten Beleid: verschil tussen versies

Huidige versie van 14 mei 2020 om 12:31

Deze informatie is onderdeel van BIO Thema Clouddiensten.

Onderdeel normenkader
ID:	Cloud_B
Versie:	1.0
Status:	Actueel
PublicatiedatumDatum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified):
Redactionele wijzigingsdatumDatum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.:	26-2-2020
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:

Meer lezen

→ BIO Thema Clouddiensten

→ Alle normenkaders

→ Beveiligingsaspecten

→ Invalshoeken

→ ISOR

De onderwerpen die specifiek voor clouddiensten een rol spelen, zijn in afbeelding 'Overzicht beveiligingsprincipes in BUC- en IFGS-matrix' vermeld. Per specifiek beveiligingsprincipe worden de ‘control’ (hoofdnorm) en maatregelen (sub-normen) beschreven. De onderstaande afbeelding geeft de onderwerpen weer die specifiek voor het beleidsaspect een rol spelen.

Beveiligingsobjecten uitgewerkt voor het Beleidsdomein ingedeeld naar IFGS invalshoeken

Risico

Als de juiste beleidsaspecten voor inrichting en onderhoud van de clouddiensten ontbreken, dan bestaat het risico dat onvoldoende sturing wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan een veilige inrichting en exploitatie van deze diensten. Daardoor komt de informatievoorziening van de organisatie als geheel in gevaar en bestaat er een reële kans dat datalekken optreden.

Doelstelling

Het doel van het beleidsaspect is de conditionele elementen te identificeren die randvoorwaardelijk zijn om clouddiensten te kunnen inrichten, beveiligen en beheersen.

Principes uit de BIO Thema Clouddiensten binnen dit aspect

ID	principe	Criterium
Cloud_B.01	Wet- en regelgeving	Alle relevante wettelijke, statutaire, regelgevende eisen, contractuele eisen en de aanpak van de CSP om aan de eisen te voldoen, behoren voor elke clouddienst en voor de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
Cloud_B.02	Cloudbeveiligingsstrategie	De CSP behoort een cloudbeveiligingsstrategie te hebben ontwikkeld die samenhangt met de strategische doelstelling van de CSP en die aantoonbaar de informatieveiligheid ondersteunt.
Cloud_B.03	Exit-strategie	In de clouddiensten-overeenkomst tussen CSP en CSC behoort een exit-strategie te zijn opgenomen waarbij zowel een aantal bepalingen aangaande exit zijn opgenomen, als een aantal condities die aanleiding kunnen geven tot een exit (https://blog.weolcan.eu/wat-is-een-cloud-exit-strategie-precies-en-hoe-voer-je-het-uit).
Cloud_B.04	Clouddienstenbeleid	De CSP behoort haar informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. uit te breiden met een cloudbeveiligingsbeleid om de voorzieningen en het gebruik van cloudservices te adresseren.
Cloud_B.05	Transparantie	De CSP voorziet de CSC in een systeembeschrijving waarin de clouddiensten inzichtelijk en transparant worden gespecificeerd en waarin de jurisdictie, onderzoeksmogelijkheden en certificaten worden geadresseerd.
Cloud_B.06	Risicomanagement	De CSP behoort de organisatie en verantwoordelijkheden voor het risicomanagementproces voor de beveiliging van de clouddiensten te hebben opgezet en te onderhouden.
Cloud_B.07	IT-functionaliteiten	IT-functionaliteiten behoren te worden verleend vanuit een robuuste en beveiligde systeemketen van CSP naar CSC.
Cloud_B.08	Bedrijfscontinuïteitsmanagement	De CSP behoort haar proces voor bedrijfscontinuïteitsmanagement (BCM) adequaat te hebben georganiseerd, waarbij de volgende aspecten zijn geadresseerd: verantwoordelijkheid voor BCM, beleid en procedures, bedrijfscontinuïteitsplanning, verificatie en updaten en computercentra.
Cloud_B.09	Data en privacy	De CSP behoort, ter bescherming van bedrijfs- en persoonlijke data, beveiligingsmaatregelen te hebben getroffen vanuit verschillende dimensies: beveiligingsaspecten en stadia, toegang en privacy, classificatie/labelen, eigenaarschap en locatie.
Cloud_B.10	Beveiligingsorganisatie Clouddiensten	De CSP behoort een beveiligingsfunctie te hebben benoemd en een beveiligingsorganisatie te hebben ingericht, waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld.

Normen uit de BIO Thema Clouddiensten binnen dit aspect

ID	Stelling	Norm
Cloud_B.01.01	De CSP informeert de CSC welke wet- en regelgeving van toepassing is op de clouddiensten.	Informeren welke wet- en regelgeving van toepassing is op clouddiensten
Cloud_B.01.02	De CSP identificeert haar eigen relevante wettelijke eisen (zoals AVG-eisen en encryptie-toepassing) om persoonsgegevens te kunnen beschermen.	Selecteren relevante wettelijke eisen ter bescherming van persoonsgegevens
Cloud_B.01.03	De voor CSC van toepassing zijnde vereisten die voortvloeien uit wet- en regelgeving zijn geïdentificeerd, vooral waar het gaat om geografische gedistribueerde verwerkingen, opslag en communicatie waarvoor verschillende wetgeving bestaat, zoals maatregelen die voortvloeien uit de AVG.	Identificeren vereisten die van toepassing zijn
Cloud_B.01.04	De CSP voorziet de CSC zekerheid (evidence based compliance rapportage) over (het voldoen aan) de van toepassing zijnde wettelijke eisen en contractuele vereisten.	Voorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereisten
Cloud_B.01.05	Voor de clouddiensten zijn, om aan de wettelijke en contractuele eisen te kunnen voldoen, specifieke maatregelen getroffen en verantwoordelijkheden benoemd.	Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisen
Cloud_B.01.06	De CSP heeft, om aan de eisen van de CSC te kunnen voldoen, alle wet- en regelgeving die op haar van toepassing is op de clouddienstverlening vastgesteld.	Vaststellen alle van toepassing zijnde wet- en regelgeving
Cloud_B.02.01	De cloudbeveiligingsstrategie van de CSP geeft aan op welke wijze zij de bedrijfsdoelstellingen van CSC('s) ondersteunt door onder andere te beschrijven: een evenwichtige set van beveiligingsmaatregelen, waarin aandacht wordt besteed aan risicomanagement; hoe (functioneel) cloudbeveiliging de weerbaarheid tegen high-impact incidenten met een hoge impact bewerkstelligt.	Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteunt
Cloud_B.02.02	De cloudbeveiligingsstrategie van de CSP: geeft onder andere aan hoe zij de CSC’s tegen bedreigingen beschermt; besteedt aandacht aan de huidige beveiligingscontext van de CSP, inclusief vaardigheden (skills), capaciteiten (capabilities) en informatie beveiligingsfunctie.	Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontext
Cloud_B.02.03	De samenhang van beveiligingsmaatregelen van de CSP ondersteunt het behalen van de bedrijfsdoelen van de CSC. Hierin wordt aangegeven: in welke mate de cloudbeveiligingsstrategie van de CSP in lijn is met de organisatiebrede doelstellingen van de CSC; hoe de cloudbeveiligingsgovernance van de CSC wordt ondersteund door het management van de CSP; dat de clouddiensten gedocumenteerd zijn en regelmatig worden gereviewd.	Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelen
Cloud_B.03.01	De CSC legt in de overeenkomst een aantal bepalingen aangaande exit-regeling vast, zoals: de exit-bepaling geldt zowel bij het einde van de overeenkomst als om valide redenen aangedragen door de CSC (zie condities); de overeenkomst (en eventuele verwerkersovereenkomst) duurt voort totdat de exit-regeling helemaal is uitgevoerd; de opzegtermijn geeft voldoende tijd om te kunnen migreren; data en configuratiegegevens (indien relevant) mogen pas na succesvolle migratie verwijderd worden; door een onafhankelijke partij wordt gecontroleerd en vastgesteld dat alle data is gemigreerd; de exit-regeling wordt aangepast/anders ingevuld als de software die gebruikt wordt voor de clouddienst is gewijzigd.	Vastleggen bepalingen over exit-regeling
Cloud_B.03.02	De CSC kan, buiten het verstrijken van de contractperiode, besluiten over te gaan tot exit wanneer sprake is van aspecten die gerelateerd zijn aan: de contracten: niet beschikbaarheid zijn van afgesproken performance; eenzijdige wijziging door de CSP van het SLA; prijsverhoging. de geleverde prestatie/ondersteuning: onvoldoende compensatie voor storingen; niet leveren van de afgesproken beschikbaarheid of performance; gebrekkige support en/of ondersteuning. clouddienst(en): nieuwe eigenaar of nieuwe strategie; end-of life van de clouddienst(en); achterwege blijvende features.	Overgaan tot exit buiten verstrijken contractperiode
Cloud_B.04.01	Het cloudbeveiligingsbeleid bevat zowel organisatorisch als technische georiënteerde maatregelen, zoals: Organische georiënteerde maatregelen: informatiebeveiligingsvereisten die van toepassing zijn bij het ontwerp en de implementatie van de cloudservices; communicatie met CSC in relatie tot en tijdens wijzigingen; communicatie van beveiligingsinbreuken en het delen van informatie; richtlijnen voor de ondersteuning van (forensische) onderzoeken; compliancy maatregelen ten aanzien van wet- en regelgeving. Technisch georiënteerde maatregelen: multi-tenancy en isolatie van CSC; toegangsprocedures e.g., sterke authenticatie voor toegang tot de cloudservices; toegang tot en protectie van data van de CSC; lifecycle-management van CSC-accounts; risico’s gerelateerd aan niet geautoriseerde insiders; virtualisatie beveiliging; beveiligingsarchitectuur en -maatregelen voor het beschermen van data, applicaties en infrastructuur.	Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid
Cloud_B.05.01	De systeembeschrijving bevat de volgende aspecten: type en scope van de clouddiensten weergegeven op basis van Service Level Agreements; principes, procedures en maatregelen om ontwikkeling en operationalisering weer te geven; beschrijving van de infrastructuurcomponenten die deel uitmaken van het ontwikkelen en operationaliseren van de clouddiensten; hoe met beveiligingsincidenten wordt omgegaan; rollen en verantwoordelijkheden van de CSP en CSC, inclusief de verplichting om samen te werken; (welke) onderdelen van de clouddiensten en/of functies toegekend of uitbesteed zijn aan sub-contracten.	Bevatten diverse aspecten in systeembeschrijving
Cloud_B.05.02	De SLA of systeembeschrijving voorziet in een specificatie van jurisdictie ten aanzien van data opslag, verwerking en back-up-locatie, ook als deze (of delen hiervan) uitbesteed is aan subcontractors.	SLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatie
Cloud_B.05.03	De SLA of systeembeschrijving voorziet in een specificatie voor publicatie-vereisten en onderzoeksmogelijkheden.	SLA/systeembeschrijving bevat specificatie voor publicatie-vereisten en onderzoeksmogelijkheden
Cloud_B.05.04	De SLA of systeembeschrijving voorziet in specificatie met betrekking tot het beschikbaar zijn van valide certificaten.	SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificaten
Cloud_B.06.01	De verantwoordelijkheden van de CSP zijn onder andere: het ontwikkelen van het informatiebeveiligingsrisicomanagementproces dat toespitst is op de omgeving van de CSP; het identificeren van analyses van de stakeholders; het definiëren van de rollen en verantwoordelijkheden van zowel interne als externe partijen; het vaststellen van de vereiste relaties tussen de eigen organisatie en stakeholders, alsook de relatie met de hoog niveau risicomanagementfunctie en met relevante projecten of activiteiten.	Hebben CSP-verantwoordelijkheden
Cloud_B.06.02	De organisatie van het risicomanagementproces is goedgekeurd door managers van de CSP.	Goedkeuren organisatie van risicomanagementproces
Cloud_B.06.03	Het risicomanagementproces is systematisch beschreven met aandacht voor beleid, procedures en richtlijnen voor activiteiten ten aanzien van: communiceren, adviseren, vaststellen van de context van onderzoeken, behandelen, monitoren, reviewen, vastleggen en rapporteren van risico’s.	Beschrijven risicomanagementproces
Cloud_B.07.01	Voor de beveiliging van IT-functionaliteiten (verwerking, opslag, transport en opvraag van informatie) zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.	Treffen maatregelen voor beveiliging IT-functionaliteiten
Cloud_B.07.02	Technische beveiligingsmaatregelen, in de vorm van sterke toegangsbeveiliging, encryptie en data-analyse methoden, zijn getroffen tegen bescherming van infrastructuur.	Treffen technische beveiligingsmaatregelen tegen bescherming van infrastructuur
Cloud_B.07.03	De IT-infrastructuur wordt, om veilige clouddiensten te kunnen verlenen, continue bewaakt en beheerst ter bescherming tegen bedreigingen.	Bewaken en beheersen IT-infrastructuur
Cloud_B.07.04	De infrastructuur wordt ingericht op basis van betrouwbare hardware- en software-componenten.	Inrichten infrastructuur met betrouwbare hardware- en software-componenten
Cloud_B.07.05	Er zijn gedocumenteerde standaarden en procedures om geavanceerde cyberaanvallen het hoofd te bieden.	Hebben van gedocumenteerde standaarden en procedures om hoofd te bieden tegen cyberaanvallen
Cloud_B.08.01	De CSP heeft een proceseigenaar voor het BCM-proces benoemd en hem verantwoordelijk gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor het vormgeven van BCM en compliancy met het uitgestippeld beleid.	Benoemen proceseigenaar voor BCM-proces en geven verantwoordelijkheden
Cloud_B.08.02	De verantwoordelijke voor BCM stelt zeker, dat adequate resources beschikbaar zijn voor het uitvoeren van een effectief BCM-proces.	Zeker stellen adequate resources voor uitvoeren van BCM-proces
Cloud_B.08.03	Het management van de CSP committeert zich aan de vastgestelde BCM-vereisten.	Committeren aan vastgestelde BCM-vereisten
Cloud_B.08.04	Het BCM- en BIA-beleid (beleid voor Business Impact Analyses) is vastgesteld en gecommuniceerd.	Vaststellen en communiceren BCM- en BIA-beleid
Cloud_B.08.05	Beleid en procedures voor het vaststellen van impact van storingen van cloudservices zijn gedocumenteerd en gecommuniceerd, waarbij aandacht wordt besteed aan: beschikbaarheid van data en functionaliteit in relatie tot vendor lock-in en transitie naar andere CSP of exit-strategie (voor de mogelijke op risicoanalyse gebaseerde scenario’s); identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van kritische producten en services; identificaties van afhankelijkheden, processen, en business partners en derde partijen; consequenties van verstoringen; schattingen van vereiste resources voor herstel.	Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservices
Cloud_B.08.06	De CSP beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit, waarin onder andere aandacht wordt besteed aan: definiëring van de scope waarbij rekening wordt gehouden met de afhankelijkheden; toegankelijkheidHoudt in dat informatie vindbaar, interpreteerbaar en uitwisselbaar is. van deze plannen voor verantwoordelijke functionarissen; toewijzen van een verantwoordelijke voor review, update en goedkeuring; definiëren van communicatiekanalen; herstelprocedures; methode voor het implementeren van het BCM-plan; continu verbeteringsproces van het BCM-plan; relaties met beveiligingsincidenten.	Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteit
Cloud_B.08.07	De business impact analyses en continuïteitsplannen worden geverifieerd, geactualiseerd en regelmatig getest.	Verifiëren, actualiseren en testen business impact analyses en continuïteitsplannen
Cloud_B.08.08	Bij het testen wordt aandacht besteed aan de beïnvloeding van de CSC’s (tenants) en derde partijen.	Besteden aandacht aan beïnvloeden van CSC’s (tenants) en derde partijen bij testen
Cloud_B.08.09	De voorzieningen van de computercentra zijn veilig gesteld en worden gemonitord (bewaakt), onderhouden en regelmatig getest.	Veiligstellen, monitoren, onderhouden en testen computercentra-voorzieningen
Cloud_B.09.01	Voor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.	Treffen maatregelen voor opslag, verwerking en transport van data
Cloud_B.09.02	Ter bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, DPIA, sterke toegangsbeveiliging en encryptie.	Treffen maatregelen zoals data-analyse, DPIA, sterke toegangsbeveiliging en encryptie
Cloud_B.09.03	Aan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op datatype, waarde, gevoeligheid en kritische gehalte voor de organisatie.	Toekennen classificatie aan data en middelen waarin/waarop zich data bevindt
Cloud_B.09.04	Data gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data.	Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerken
Cloud_B.09.05	De CSP past een uniforme classificatie toe voor informatie en middelen, die relevant zijn voor de ontwikkeling en aanbieden van clouddiensten.	Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddiensten
Cloud_B.09.06	Het eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld.	Vaststellen eigenaarschap van middelen die deel uitmaken van clouddiensten
Cloud_B.09.07	In de overeenkomst tussen CSP en CSC is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten.	Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienst
Cloud_B.09.08	De CSP specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen.	Specificeren en documenteren opslag op welke locatie data
Cloud_B.10.01	De beveiligingsfunctie, die geleid wordt door een CSO, ondersteunt de CSP voor het bewerkstelligen en promoten van cloudbeveiligingsbeleid door: het ontwikkelen en onderhouden van beveiligingsstrategie en -beleid; het ontwikkelen van beveiligingsstandaarden, procedures en richtlijnen; het definiëren van een set beveiligingsdiensten; het coördineren van beveiliging door de gehele organisatie; het monitoren van de effectiviteit van de clouddienstreglementen; het bieden van overzicht van en het doen van onderzoeken naar beveiligingsdiensten.	Bewerkstelligen en promoten cloudbeveiligingsbeleid
Cloud_B.10.02	De beveiligingsfunctie voorziet in proactieve ondersteuning van: cloudrisico-assessment-activiteiten; classificeren van informatie en systemen; gebruik van encryptie; beveiliging van gerelateerde projecten; ontwikkelen van bedrijfscontinuïteitsprogramma en beveiligingsaudits.	Voorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelen
Cloud_B.10.03	De CSP heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. NB Dit een voorstel van de WGR en SGR.	Geven positie van informatiebeveiligingsorganisatie binnen organisatie
Cloud_B.10.04	De CSP heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. beschreven en toegewezen aan specifieke functionarissen. NB Deze tekst is een specifieke overheidsmaatregel uit de BIO.	Toewijzen verantwoordelijkheden voor definiëren, coördineren en evalueren van informatiebeveiliging
Cloud_B.10.05	De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix.	Vastleggen taken, verantwoordelijkheden en bevoegdheden in autorisatiematrix
Cloud_B.10.06	De belangrijkste functionarissen (stakeholders) voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.	Benoemen functionarissen voor informatiebeveiliging en onderlinge relaties inzichtelijk maken
Cloud_B.10.07	De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld.	Vaststellen verantwoordings- en rapportagelijnen tussen betrokken functionarissen
Cloud_B.10.08	Het type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.	Vaststellen type, frequentie en eisen voor inhoudelijke rapportages
Cloud_B.11.01	Het raamwerk bevat de volgende aspecten: beveiligingsbeleid CSP op basis van principes, wet- en regelgeving; functioneel; type en scope van de clouddiensten; zoneringsmodel voor scheiding tussen CSC’s; trust framework (afspraken en maatregelen ter bevordering van vertrouwens relatie); SLA’s en valide certificaten; risicomanagement.	Bevatten diverse aspecten voor raamwerk
Cloud_B.11.02	De onderlinge samenhang tussen IT-functionaliteiten die bij het aanbieden, gebruiken en onderhouden van clouddiensten zijn betrokken, zijn benoemd en beschreven.	Beschrijven van de samenhang tussen IT-functionaliteiten bij clouddienst-aanbieding, -gebruik en -onderhoud

@@ Regel 1: / Regel 1: @@
 {{#element:
-|Elementtype=Hoofdstuk-aspect
+|Elementtype=Normenkader-aspect
 |ID=Cloud_B
 |Titel=Clouddiensten Beleid
@@ Regel 7: / Regel 7: @@
 |Status actualiteit=Actueel
 |Redactionele wijzigingsdatum=26-02-2020
-|Publicatiedatum=26-02-2020
 |Beschrijving=De onderwerpen die specifiek voor clouddiensten een rol spelen, zijn in afbeelding 'Overzicht beveiligingsprincipes in BUC- en IFGS-matrix' vermeld. Per specifiek beveiligingsprincipe worden de ‘control’ (hoofdnorm) en maatregelen (sub-normen) beschreven. De onderstaande afbeelding geeft de onderwerpen weer die specifiek voor het beleidsaspect een rol spelen.
@@ Regel 15: / Regel 13: @@
 |Risico=Als de juiste beleidsaspecten voor inrichting en onderhoud van de clouddiensten ontbreken, dan bestaat het risico dat onvoldoende sturing wordt gegeven aan een veilige inrichting en exploitatie van deze diensten. Daardoor komt de informatievoorziening van de organisatie als geheel in gevaar en bestaat er een reële kans dat datalekken optreden.
 |Beveiligingsaspect=Beleid
+|Publicatiedatum=26-02-2020
 |Heeft ouder=BIO Thema Clouddiensten
 |Heeft bron=BIO Thema Clouddiensten
 }}