|
|
| (Een tussenliggende versie door dezelfde gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem niet weergegeven) |
| Regel 1: |
Regel 1: |
| − | {{#Element: | + | {{#element: |
| | + | |Elementtype=Norm |
| | |ID=Cloud_B.04.01 | | |ID=Cloud_B.04.01 |
| | |Titel=Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid | | |Titel=Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid |
| − | |Elementtype=Norm
| |
| | |Versieaanduiding=1.0 | | |Versieaanduiding=1.0 |
| − | |Status Actualiteit=Actueel | + | |Status actualiteit=Actueel |
| − | |Redactionele wijzigingsdatum=17-03-2020 | + | |Publicatiedatum=26-02-2020 |
| − | |Publicatiedatum=17-03-2020 | + | |Redactionele wijzigingsdatum=26-02-2020 |
| − | |Heeft bron=BIO Thema Clouddiensten
| |
| | |Beveiligingsaspect=Beleid | | |Beveiligingsaspect=Beleid |
| − | |Grondslag=* ISO 27017: 5.1.1
| |
| − | * IT-Grundschutz (Basis für Informationssicherheit): C5 SA01
| |
| | |Stelling=Het cloudbeveiligingsbeleid bevat zowel organisatorisch als technische georiënteerde maatregelen, zoals: | | |Stelling=Het cloudbeveiligingsbeleid bevat zowel organisatorisch als technische georiënteerde maatregelen, zoals: |
| | * Organische georiënteerde maatregelen: | | * Organische georiënteerde maatregelen: |
| Regel 27: |
Regel 24: |
| | ** beveiligingsarchitectuur en -maatregelen voor het beschermen van data, applicaties en infrastructuur. | | ** beveiligingsarchitectuur en -maatregelen voor het beschermen van data, applicaties en infrastructuur. |
| | |Conformiteitsindicator=cloudbeveiligingsbeleid | | |Conformiteitsindicator=cloudbeveiligingsbeleid |
| | + | |Heeft bron=BIO Thema Clouddiensten |
| | + | |Realiseert=ISOR:Clouddienstenbeleid |
| | + | |Status Actualiteit=Actueel |
| | |Heeft ouder=ISOR:Clouddienstenbeleid | | |Heeft ouder=ISOR:Clouddienstenbeleid |
| − | |Realiseert=ISOR:Clouddienstenbeleid
| |
| | }} | | }} |
Stelling
Het cloudbeveiligingsbeleid bevat zowel organisatorisch als technische georiënteerde maatregelen, zoals:
- Organische georiënteerde maatregelen:
- informatiebeveiligingsvereisten die van toepassing zijn bij het ontwerp en de implementatie van de cloudservices;
- communicatie met CSC in relatie tot en tijdens wijzigingen;
- communicatie van beveiligingsinbreuken en het delen van informatie;
- richtlijnen voor de ondersteuning van (forensische) onderzoeken;
- compliancy maatregelen ten aanzien van wet- en regelgeving.
- Technisch georiënteerde maatregelen:
- multi-tenancy en isolatie van CSC;
- toegangsprocedures e.g., sterke authenticatie voor toegang tot de cloudservices;
- toegang tot en protectie van data van de CSC;
- lifecycle-management van CSC-accounts;
- risico’s gerelateerd aan niet geautoriseerde insiders;
- virtualisatie beveiliging;
- beveiligingsarchitectuur en -maatregelen voor het beschermen van data, applicaties en infrastructuur.
Bovenliggende principe(s)
Deze norm realiseert het privacyprincipe
Clouddienstenbeleid via de conformiteitsindicator
cloudbeveiligingsbeleid.
Grondslag
