ISOR:Compliance en assurance: verschil tussen versies
k (hyperlink aangepast) |
k (objectdefinitie in lijn met versie 2.1) |
||
(4 tussenliggende versies door 2 gebruikers niet weergegeven) | |||
Regel 2: | Regel 2: | ||
|Elementtype=Beveiligingsprincipe | |Elementtype=Beveiligingsprincipe | ||
|ID=CLD_C.03 | |ID=CLD_C.03 | ||
− | |Titel=Compliance en | + | |Titel=Compliance en assurance |
− | |Versieaanduiding=1 | + | |Versieaanduiding=2.1 |
|Status actualiteit=Actueel | |Status actualiteit=Actueel | ||
− | |Redactionele wijzigingsdatum= | + | |Redactionele wijzigingsdatum=2022/01/10 |
− | |Publicatiedatum= | + | |Publicatiedatum=2021/10/29 |
− | |Beschrijving= | + | |Beschrijving===Objectdefinitie== |
+ | Betreft de besturing op het voldoen aan de geldende wet- en regelgeving, beleid, richtlijnen en procedures en de onafhankelijke toetsing op de naleving hiervan. | ||
− | Assurance is | + | ==Objecttoelichting== |
− | |Criterium=De CSP behoort regelmatig de naleving van de | + | Met compliance wordt aangeduid dat de Cloud Service Provider (CSP) werkt conform de geldende wet- en regelgeving en het uitgestippeld cloud-beveiligingsbeleid. Aan de Cloud Service Consumer (CSC) wordt zekerheid geboden over het beoogde beveiligingsniveau van de aangeboden clouddienst. Hiervoor zal de CSP een compliance-functie moeten hebben ingericht die het management van de CSP bijstaat bij het in control houden van de CSP-organisatie om te werken volgens de geldende wet- en regelgeving en het overeengekomen beveiligingsbeleid. |
+ | |||
+ | |||
+ | Assurance is zekerheid geven over de naleving van wet- en regelgeving door een onafhankelijke toetsing. Daarmee wordt aan de CSC zekerheid geboden van het beoogde beveiligingsniveau van de aangeboden clouddienst. Dit vindt plaats met een assurance-rapportage. | ||
+ | |Criterium=De CSP behoort regelmatig de naleving van de cloud-beveiligingsovereenkomsten op ''compliancy'' te beoordelen, jaarlijks een ''assurance''-verklaring aan de CSC uit te brengen en te zorgen voor onderlinge ''aansluiting'' van de resultaten uit deze twee exercities. | ||
+ | |Doelstelling=Het voorkomen van het overtreden van wet- en regelgeving, het beveiligingsbeleid, de richtlijnen en de procedures en zekerheid bieden over het beoogde beveiligingsniveau van de clouddienst. | ||
+ | |Risico=Het ongecontroleerd afwijken van hetgeen gesteld is in wet- en regelgeving, het beveiligingsbeleid, de richtlijnen en de procedures en geen zekerheid hebben over het ingevoerde beveiligingsniveau. | ||
|Beveiligingsaspect=Control | |Beveiligingsaspect=Control | ||
|Invalshoek=Intentie | |Invalshoek=Intentie | ||
− | |Grondslag=* NEN-ISO/IEC 27002: | + | |Grondslag=* NEN-ISO/IEC 27002: 18.2.1 en 18.2.2 |
− | + | |Conformiteitsindicator=Compliancy, assurance, aansluiting | |
− | |Conformiteitsindicator= | ||
|Heeft bron=BIO Thema Clouddiensten | |Heeft bron=BIO Thema Clouddiensten | ||
|Status Actualiteit=Actueel | |Status Actualiteit=Actueel | ||
|Heeft ouder=ISOR:BIO Thema Clouddiensten Control | |Heeft ouder=ISOR:BIO Thema Clouddiensten Control | ||
}} | }} |
Huidige versie van 10 jan 2022 om 15:48
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Verwante principes |
Objectdefinitie
Betreft de besturing op het voldoen aan de geldende wet- en regelgeving, beleid, richtlijnen en procedures en de onafhankelijke toetsing op de naleving hiervan.
Objecttoelichting
Met compliance wordt aangeduid dat de Cloud Service Provider (CSP) werkt conform de geldende wet- en regelgeving en het uitgestippeld cloud-beveiligingsbeleid. Aan de Cloud Service Consumer (CSC) wordt zekerheid geboden over het beoogde beveiligingsniveau van de aangeboden clouddienst. Hiervoor zal de CSP een compliance-functie moeten hebben ingericht die het management van de CSP bijstaat bij het in control houden van de CSP-organisatie om te werken volgens de geldende wet- en regelgeving en het overeengekomen beveiligingsbeleid.
Assurance is zekerheid geven over de naleving van wet- en regelgeving door een onafhankelijke toetsing. Daarmee wordt aan de CSC zekerheid geboden van het beoogde beveiligingsniveau van de aangeboden clouddienst. Dit vindt plaats met een assurance-rapportage.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Control;
- valt binnen de Invalshoek Intentie.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is NEN-ISO/IEC 27002 18.2.1 en 18.2.2
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
CLD_C.03.01 | Compliancy |
Voor de governance van de clouddienstverlening aan de Cloud Service Consumer (CSC) heeft de Cloud Service Provider (CSP) een compliance-proces ingericht, waarmee continue compliance op wet- en regelgeving en het overeengekomen cloud-beveiligingsbeleid vorm wordt gegeven. |
CLD_C.03.02 | Compliancy |
De Cloud Service Provider (CSP) registreert de regulier uitgebrachte prestatie-, beveiligings- en compliance-rapportages in een administratie. |
CLD_C.03.03 | Compliancy |
Het compliance-proces is bij voorkeur aangesloten op een informatiebeveiligingsmanagementsysteem. |
CLD_C.03.04 | Assurance |
De Cloud Service Provider (CSP) laat jaarlijks door een derde partij een onderzoek (audit) uitvoeren op de inrichting en beheersing van de gecontracteerde clouddiensten. |
CLD_C.03.05 | Assurance |
Bij de assessment wordt door de derde partij zowel de cloud-omgeving als de administratie betrokken. |
CLD_C.03.06 | Aansluiting |
De Cloud Service Provider (CSP) zorgt ervoor dat de uitkomsten uit de jaarlijkse assurance- rapportage (Third Party Mededeling (TPM)), de uitkomsten van de periodieke servicerapportages en de uitkomsten uit de continue compliance op het cloud-beveiligingsbeleid op elkaar aansluiten. |