ISOR:Compliance en assurance: verschil tussen versies
k (titel in lijn met papieren document gebracht) |
k (hyperlink aangepast) |
||
Regel 5: | Regel 5: | ||
|Versieaanduiding=1.0 | |Versieaanduiding=1.0 | ||
|Status actualiteit=Actueel | |Status actualiteit=Actueel | ||
− | |Redactionele wijzigingsdatum=2021/ | + | |Redactionele wijzigingsdatum=2021/08/02 |
|Publicatiedatum=26-02-2020 | |Publicatiedatum=26-02-2020 | ||
|Beschrijving=Met compliance wordt aangeduid dat de CSP werkt in overeenstemming met de geldende wet- en regelgeving en het uitgestippeld cloudbeveiligingsbeleid. Hiervoor zal de CSP een compliance-functie moeten hebben ingericht die het management van CSP bijstaat bij het in control houden van de CSP-organisatie om in overeenstemming te werken met de geldende wet- en regelgeving en het overeengekomen beveiligingsbeleid. | |Beschrijving=Met compliance wordt aangeduid dat de CSP werkt in overeenstemming met de geldende wet- en regelgeving en het uitgestippeld cloudbeveiligingsbeleid. Hiervoor zal de CSP een compliance-functie moeten hebben ingericht die het management van CSP bijstaat bij het in control houden van de CSP-organisatie om in overeenstemming te werken met de geldende wet- en regelgeving en het overeengekomen beveiligingsbeleid. | ||
Regel 14: | Regel 14: | ||
|Invalshoek=Intentie | |Invalshoek=Intentie | ||
|Grondslag=* NEN-ISO/IEC 27002: 18.1, 18.2.1 en 18.2.2 | |Grondslag=* NEN-ISO/IEC 27002: 18.1, 18.2.1 en 18.2.2 | ||
− | * | + | * Cloud Computing Compliance Criteria Catalogue - C5:2020: 5.16 |
|Conformiteitsindicator=compliancyassuranceaansluiting | |Conformiteitsindicator=compliancyassuranceaansluiting | ||
|Heeft bron=BIO Thema Clouddiensten | |Heeft bron=BIO Thema Clouddiensten |
Versie van 2 aug 2021 13:38
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Verwante principes |
Met compliance wordt aangeduid dat de CSP werkt in overeenstemming met de geldende wet- en regelgeving en het uitgestippeld cloudbeveiligingsbeleid. Hiervoor zal de CSP een compliance-functie moeten hebben ingericht die het management van CSP bijstaat bij het in control houden van de CSP-organisatie om in overeenstemming te werken met de geldende wet- en regelgeving en het overeengekomen beveiligingsbeleid.
Assurance is het zekerheid geven over de naleving van wet- en regelgeving met behulp van een onafhankelijke toetsing. Daarmee wordt aan de consumer zekerheid geboden van het beoogde beveiligingsniveau van de aangeboden clouddienst. Dit vindt plaats op basis van een assurance-rapportage.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Control;
- valt binnen de Invalshoek Intentie.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is NEN-ISO/IEC 27002 18.2.1 en 18.2.2
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
CLD_C.03.01 | Compliancy |
Voor de governance van de clouddienstverlening aan de Cloud Service Consumer (CSC) heeft de Cloud Service Provider (CSP) een compliance-proces ingericht, waarmee continue compliance op wet- en regelgeving en het overeengekomen cloud-beveiligingsbeleid vorm wordt gegeven. |
CLD_C.03.02 | Compliancy |
De Cloud Service Provider (CSP) registreert de regulier uitgebrachte prestatie-, beveiligings- en compliance-rapportages in een administratie. |
CLD_C.03.03 | Compliancy |
Het compliance-proces is bij voorkeur aangesloten op een informatiebeveiligingsmanagementsysteem. |
CLD_C.03.04 | Assurance |
De Cloud Service Provider (CSP) laat jaarlijks door een derde partij een onderzoek (audit) uitvoeren op de inrichting en beheersing van de gecontracteerde clouddiensten. |
CLD_C.03.05 | Assurance |
Bij de assessment wordt door de derde partij zowel de cloud-omgeving als de administratie betrokken. |
CLD_C.03.06 | Aansluiting |
De Cloud Service Provider (CSP) zorgt ervoor dat de uitkomsten uit de jaarlijkse assurance- rapportage (Third Party Mededeling (TPM)), de uitkomsten van de periodieke servicerapportages en de uitkomsten uit de continue compliance op het cloud-beveiligingsbeleid op elkaar aansluiten. |