Clouddienstenbeleid

Exporteer naar RDF

Versie 2.0 van 1 juni 2021 van de BIO Thema-uitwerking Clouddiensten is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	Cloud_B.04
Versie:	1.0
Status:	Actueel
Publicatiedatum:	29-10-2021
Redactionele wijzigingsdatum:	6-12-2021
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:	Intentie

Verwante principes

→ BIO Thema-uitwerking Clouddiensten

→ Binnen dit normenkader èn beveiligingsaspect

→ Alle Normenkaders

→ Alle Beveiligingsprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ ISOR

Het onderwerp cloud(diensten) zal een specifiek onderdeel moeten zijn van het informatiebeveiligingsbeleid van de CSC. Een CSC kan ook kiezen voor een specifiek clouddienstenbeleid, waarbij in de informatiebeveiligingsparagraaf, het algemene informatiebeveiligingsbeleid specifiek voor clouddiensten wordt uitgewerkt of ingevuld. Het beleid zal uitgangspunten moeten bevatten over de wijze waarop, binnen welk tijdbestek en met welke middelen clouddiensten de doelstellingen moeten bereiken. In dit beleid zal ook aandacht moeten worden besteed aan archiveringsbeleid, cryptografiebeleid, certificering en verklaringen.

Om de CSC te kunnen bedienen, zal de CSP vanuit haar eigen optiek een cloudbeveiligingsbeleid hebben ontwikkeld. Dit beleid geeft de CSC mogelijkheden om haar cloudbeleid te relateren aan de strategie van CSP en biedt de CSC de mogelijkheid om de keuzes bij te stellen dan wel aanvullende eisen aan de CSP te stellen.

Criterium

De CSP behoort haar informatiebeveiligingsbeleid uit te breiden met een cloudbeveiligingsbeleid om de voorzieningen en het gebruik van cloudservices te adresseren.

Doelstelling

Risico

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Beleid;
valt binnen de Invalshoek Intentie.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services) 5.1.1

Onderliggende normen

ID	Conformiteitsindicator	Stelling
CLD_B.04.01	Cloud-beveiligingsbeleid	Het cloud-beveiligingsbeleid bevat: Organische georiënteerde maatregelen: informatiebeveiligingsvereisten die van toepassing zijn bij het ontwerp en de implementatie van cloud-services; communicatie met de Cloud Service Consumer (CSC) in relatie tot en tijdens wijzigingen; communicatie van beveiligingsinbreuken en het delen van informatie; richtlijnen voor de ondersteuning van (forensische) onderzoeken; compliancy-maatregelen op wet- en regelgeving. Technisch georiënteerde maatregelen: multi-tenancy en isolatie van de CSC; toegangsprocedures, bijvoorbeeld sterke authenticatie voor toegang tot cloud-services; toegang tot en protectie van de data van de CSC; levenscyclusmanagement van CSC-accounts; risico’s gerelateerd aan niet geautoriseerde insiders; virtualisatie beveiliging; beveiligingsarchitectuur en -maatregelen voor het beschermen van data, applicaties en infrastructuur.