ISOR:Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid: verschil tussen versies

ID: Cloud_B.04.01 Norm Versie: 1.0 Status: Actueel Publicatiedatum: 29-10-2021 Redactionele wijzigingsdatum: 5-1-2022 Indeling Beveiligingsaspect: Beleid Invalshoek: → Bovenliggende principe → Meer in normenkader èn aspect → Alle normen → Alle normenkaders → ISOR (Information Security Object Repository)

Stelling

Het cloudbeveiligingsbeleid bevat zowel organisatorisch als technische georiënteerde maatregelen, zoals:

• Organische georiënteerde maatregelen:
  • informatiebeveiligingsvereisten die van toepassing zijn bij het ontwerp en de implementatie van de cloudservices;
  • communicatie met CSC in relatie tot en tijdens wijzigingen;
  • communicatie van beveiligingsinbreuken en het delen van informatie;
  • richtlijnen voor de ondersteuning van (forensische) onderzoeken;
  • compliancy maatregelen ten aanzien van wet- en regelgeving.
• Technisch georiënteerde maatregelen:
  • multi-tenancy en isolatie van CSC;
  • toegangsprocedures e.g., sterke authenticatie voor toegang tot de cloudservices;
  • toegang tot en protectie van data van de CSC;
  • lifecycle-management van CSC-accounts;
  • risico’s gerelateerd aan niet geautoriseerde insiders;
  • virtualisatie beveiliging;
  • beveiligingsarchitectuur en -maatregelen voor het beschermen van data, applicaties en infrastructuur.

Bovenliggende principe(s)

Deze norm realiseert het principe Clouddienstenbeleid via de conformiteitsindicator cloudbeveiligingsbeleid.

Grondslag

De grondslag voor dit principe is NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services) 5.1.1