BIO Thema Clouddiensten

Uit NORA Online
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
Dit Normenkader is deel van ISOR.


Binnen dit normenkader

Relatie tussen principes en onderliggende normen

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.

Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid Referentie Architectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.

Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.


Indelingen binnen BIO Thema Clouddiensten

Alle onderdelen van BIO Thema Clouddiensten zijn ingedeeld volgens de SIVA-methode. Dat betekent dat alle principes en onderliggende normen zijn ingedeeld in één van drie aspecten: Beleid, Uitvoering of Control (B, U of C). Binnen normenkaders die geheel volgens de SIVA-methode zijn opgesteld herken je bovendien een tweede indeling, in de invalshoeken Intentie of Functie of Gedrag of Structuur (I, F, G of S). Deze indeling heeft binnen SIVA tot doel om lacunes te ontdekken in de objectanalyse die leidt tot normen. Voor de Privacy Baseline en de SSD-stukken geldt een uitzondering. Daar heeft IFGS geen rol gespeeld bij de samenstelling van het 'normenkader'.

De principes en onderliggende normen van BIO Thema Clouddiensten zijn op basis hiervan in een aantal overzichten gezet:

Principes uit BIO Thema Clouddiensten

In deze tabel staan alle principes uit BIO Thema Clouddiensten, met het unieke ID, Criterium en de trefwoorden die verder zijn uitgewerkt in normen. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabellen zijn ook beschikbaar als csv-download (export alle beveiligingsaspecten / beleid / uitvoering / Control) en in uitgebreide versie met alle bestaande eigenschappen.

Beleid (principes)

export principes Beleid als csv

IDPrincipeCriterium
Cloud_B.01Wet- en regelgevingAlle relevante wettelijke, statutaire, regelgevende eisen, contractuele eisen en de aanpak van de CSP om aan de eisen te voldoen, behoren voor elke clouddienst en voor de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
Cloud_B.02CloudbeveiligingsstrategieDe CSP behoort een cloudbeveiligingsstrategie te hebben ontwikkeld die samenhangt met de strategische doelstelling van de CSP en die aantoonbaar de informatieveiligheid ondersteunt.
Cloud_B.03Exit-strategieIn de clouddiensten-overeenkomst tussen CSP en CSC behoort een exit-strategie te zijn opgenomen waarbij zowel een aantal bepalingen aangaande exit zijn opgenomen, als een aantal condities die aanleiding kunnen geven tot een exit (https://blog.weolcan.eu/wat-is-een-cloud-exit-strategie-precies-en-hoe-voer-je-het-uit).
Cloud_B.04ClouddienstenbeleidDe CSP behoort haar informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. uit te breiden met een cloudbeveiligingsbeleid om de voorzieningen en het gebruik van cloudservices te adresseren.
Cloud_B.05TransparantieDe CSP voorziet de CSC in een systeembeschrijving waarin de clouddiensten inzichtelijk en transparant worden gespecificeerd en waarin de jurisdictie, onderzoeksmogelijkheden en certificaten worden geadresseerd.
Cloud_B.06RisicomanagementDe CSP behoort de organisatie en verantwoordelijkheden voor het risicomanagementproces voor de beveiliging van de clouddiensten te hebben opgezet en te onderhouden.
Cloud_B.07IT-functionaliteitenIT-functionaliteiten behoren te worden verleend vanuit een robuuste en beveiligde systeemketen van CSP naar CSC.
Cloud_B.08BedrijfscontinuïteitsmanagementDe CSP behoort haar proces voor bedrijfscontinuïteitsmanagement (BCM) adequaat te hebben georganiseerd, waarbij de volgende aspecten zijn geadresseerd: verantwoordelijkheid voor BCM, beleid en procedures, bedrijfscontinuïteitsplanning, verificatie en updaten en computercentra.
Cloud_B.09Data en privacyDe CSP behoort, ter bescherming van bedrijfs- en persoonlijke data, beveiligingsmaatregelen te hebben getroffen vanuit verschillende dimensies: beveiligingsaspecten en stadia, toegang en privacy, classificatie/labelen, eigenaarschap en locatie.
Cloud_B.10BeveiligingsorganisatieDe CSP behoort een beveiligingsfunctie te hebben benoemd en een beveiligingsorganisatie te hebben ingericht, waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld.

Uitvoering (principes)

export principes Uitvoering als csv

IDPrincipeCriterium
Cloud_U.01Standaarden voor clouddienstenDe CSP past aantoonbaar relevante nationale standaarden en internationale standaarden toe voor de opzet en exploitatie van de diensten en de interactie met de CSC.
Cloud_U.02Risico-assessmentDe CSP behoort een risico-assessment uit te voeren, bestaande uit risico-analyse en risico-evaluatie en op basis van de criteria en de doelstelling met betrekking tot clouddiensten van de CSP.
Cloud_U.03BedrijfscontinuïteitsservicesInformatieBetekenisvolle gegevens. verwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan continuïteitseisen te voldoen.
Cloud_U.04Herstelfunctie voor data en clouddienstenDe herstelfunctie van data en clouddiensten, gericht op ondersteuning van bedrijfsprocessen behoort te worden gefaciliteerd met infrastructuur en IT-diensten, die robuust zijn en periodiek worden getest.
Cloud_U.05Data-protectieData (op transport, in verwerking en in rust) met classificatie BBN2 of hoger behoort te worden beschermd met cryptografische maatregelen en te voldoen aan Nederlandse wetgeving.
Cloud_U.06Dataretentie en vernietiging gegevensGearchiveerde data behoort gedurende de overeengekomen bewaartermijn technologie-onafhankelijk, raadpleegbaar, onveranderbaar en integer te worden opgeslagen en op aanwijzing van de CSC/data eigenaar te kunnen worden vernietigd.
Cloud_U.07Scheiding van dataCSC-gegevens behoren tijdens transport, bewerking en opslag duurzaam geïsoleerd te zijn van beheerfuncties en data van en andere dienstverlening aan andere CSC’s, die de CSP in beheer heeft.
Cloud_U.08Scheiding van dienstverleningDe cloud-infrastructuur is zodanig ingericht, dat de dienstverlening aan gebruikers van informatiediensten zijn gescheiden.
Cloud_U.09Malware-protectieTer bescherming tegen malware behoren beheersmaatregelen te worden geïmplementeerd voor detectie, preventie en herstel in combinatie met een passend bewustzijn van de gebruikers.
Cloud_U.10Toegang tot IT-diensten en dataGebruikers behoren alleen toegang te krijgen tot de IT-diensten en data waarvoor zij specifiek bevoegd zijn.
Cloud_U.11Crypto-servicesGevoelige data van CSC’s behoort conform het overeengekomen beleid inzake cryptografische maatregelen, tijdens transport via netwerken en bij opslag bij CSP te zijn versleuteld.
Cloud_U.12KoppelvlakkenDe onderlinge netwerkconnecties (koppelvlakken) in de keten van CSC naar CSP behoren te worden bewaakt en beheerst om de risico’s van datalekken te beperken.
Cloud_U.13Service-orkestratieService-orkestratie biedt coördinatie, aggregatie en samenstelling van de service-componenten van de cloudservice die aan de CSC wordt geleverd.
Cloud_U.14Interoperabiliteit en portabiliteitCloudservices zijn bruikbaar (interoperabiliteitInteroperabiliteit is het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgeving) op verschillende IT-platforms en kunnen op basis van standaarden verschillende IT-platforms met elkaar verbinden en data overdragen (portabiliteit) naar andere CSP’s.
Cloud_U.15Logging en monitoringLogbestanden waarin gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. gebeurtenissen worden geregistreerd, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.
Cloud_U.16Clouddiensten-architectuurDe clouddiensten-architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. specificeert de samenhang en beveiliging van de services en de inter-connectie tussen CSC en CSP en biedt transparantieInzicht in de werkwijze die de overheid hanteert. en overzicht van randvoorwaardelijke omgevingsparameters, voor zowel de opzet, de levering en de portabiliteit van CSC-data.
Cloud_U.17Multi-tenant architectuurBij multi-tenancy wordt de CSC-data binnen clouddiensten, die door meerdere CSC’s worden afgenomen, in rust versleuteld en gescheiden verwerkt op gehardende (virtuele) machines.

Control (principes)

export principes Control als csv

IDPrincipeCriterium
Cloud_C.01Service-managementbeleid en evaluatie richtlijnenDe CSP heeft voor de clouddiensten een service-managementbeleid geformuleerd met daarin richtlijnen voor de beheersingsprocessen, controle-activiteiten en rapportages.
Cloud_C.02Risico-controlHet risicomanagement- en het risico-assessmentproces behoren continu te worden gemonitord en gereviewd en zo nodig te worden verbeterd.
Cloud_C.03Compliance en assuranceDe CSP behoort regelmatig de naleving van de cloudbeveiligingsovereenkomsten op compliancy te beoordelen, jaarlijks een assurance-verklaring aan de CSC uit te brengen en ervoor te zorgen voor onderlinge aansluiting van de resultaten uit deze twee exercities.
Cloud_C.04Technische kwetsbaarhedenbeheerInformatieBetekenisvolle gegevens. over technische kwetsbaarheden van gebruikte informatiesystemen behoort tijdig te worden verkregen; de blootstelling aan dergelijke kwetsbaarheden moet worden geëvalueerd en passende maatregelen moeten worden genomen om het risico dat ermee samenhangt aan te pakken.
Cloud_C.05Security-monitoringDe performance van de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. van de cloud-omgeving behoort regelmatig te worden gemonitord en hierover behoort tijdig te worden gerapporteerd aan de verschillende stakeholders.
Cloud_C.06Beheerorganisatie clouddienstenDe CSP heeft een beheersingsorganisatie ingericht waarin de processtructuur en de taken, verantwoordelijkheden en bevoegdheden (TVB) van de betrokken functionarissen zijn vastgesteld.

Onderliggende normen

ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.

Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid Referentie Architectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.

Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.


In deze tabel staan alle normen uit BIO Thema Clouddiensten. Van links tot rechts zie je het unieke ID van de norm, welk trefwoord van het bovenliggende principe de norm realiseert, de tekst van de norm en een link naar de aparte pagina van die norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv-export normen en in uitgebreide tabel.

Beleid (normen)

export normen Beleid als csv

IDtrefwoordStellingNorm
Cloud_B.01.01wettelijke, statutaire en regelgevende eisenDe CSP informeert de CSC welke wet- en regelgeving van toepassing is op de clouddiensten.Informeren welke wet- en regelgeving van toepassing is op clouddiensten
Cloud_B.01.04wettelijke, statutaire en regelgevende eisenDe CSP voorziet de CSC zekerheid (evidence based compliance rapportage) over (het voldoen aan) de van toepassing zijnde wettelijke eisen en contractuele vereisten.Voorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereisten
Cloud_B.01.05contractuele eisenVoor de clouddiensten zijn, om aan de wettelijke en contractuele eisen te kunnen voldoen, specifieke maatregelen getroffen en verantwoordelijkheden benoemd.Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisen
Cloud_B.01.06aanpakDe CSP heeft, om aan de eisen van de CSC te kunnen voldoen, alle wet- en regelgeving die op haar van toepassing is op de clouddienstverlening vastgesteld.Vaststellen alle van toepassing zijnde wet- en regelgeving
Cloud_B.02.01cloudbeveiligingsstrategieDe cloudbeveiligingsstrategie van de CSP geeft aan op welke wijze zij de bedrijfsdoelstellingen van CSC('s) ondersteunt door onder andere te beschrijven:
  • een evenwichtige set van beveiligingsmaatregelen, waarin aandacht wordt besteed aan risicomanagement;
  • hoe (functioneel) cloudbeveiliging de weerbaarheid tegen high-impact incidenten met een hoge impact bewerkstelligt.
Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteunt
Cloud_B.02.02cloudbeveiligingsstrategieDe cloudbeveiligingsstrategie van de CSP:
  • geeft onder andere aan hoe zij de CSC’s tegen bedreigingen beschermt;
  • besteedt aandacht aan de huidige beveiligingscontext van de CSP, inclusief vaardigheden (skills), capaciteiten (capabilities) en informatie beveiligingsfunctie.
  • Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontext
    Cloud_B.02.03samenhangtDe samenhang van beveiligingsmaatregelen van de CSP ondersteunt het behalen van de bedrijfsdoelen van de CSC. Hierin wordt aangegeven:
  • in welke mate de cloudbeveiligingsstrategie van de CSP in lijn is met de organisatiebrede doelstellingen van de CSC;
  • hoe de cloudbeveiligingsgovernance van de CSC wordt ondersteund door het management van de CSP;
  • dat de clouddiensten gedocumenteerd zijn en regelmatig worden gereviewd.
  • Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelen
    Cloud_B.03.01bepalingenDe CSC legt in de overeenkomst een aantal bepalingen aangaande exit-regeling vast, zoals:
  • de exit-bepaling geldt zowel bij het einde van de overeenkomst als om valide redenen aangedragen door de CSC (zie condities);
  • de overeenkomst (en eventuele verwerkersovereenkomst) duurt voort totdat de exit-regeling helemaal is uitgevoerd;
  • de opzegtermijn geeft voldoende tijd om te kunnen migreren;
  • data en configuratiegegevens (indien relevant) mogen pas na succesvolle migratie verwijderd worden;
  • door een onafhankelijke partij wordt gecontroleerd en vastgesteld dat alle data is gemigreerd;
  • de exit-regeling wordt aangepast/anders ingevuld als de software die gebruikt wordt voor de clouddienst is gewijzigd.
  • Vastleggen bepalingen over exit-regeling
    Cloud_B.03.02conditiesDe CSC kan, buiten het verstrijken van de contractperiode, besluiten over te gaan tot exit wanneer sprake is van aspecten die gerelateerd zijn aan:
  • de contracten:
    • niet beschikbaarheid zijn van afgesproken performance;
    • eenzijdige wijziging door de CSP van het SLA;
    • prijsverhoging.
  • de geleverde prestatie/ondersteuning:
    • onvoldoende compensatie voor storingen;
    • niet leveren van de afgesproken beschikbaarheid of performance;
    • gebrekkige support en/of ondersteuning.
  • clouddienst(en):
    • nieuwe eigenaar of nieuwe strategie;
    • end-of life van de clouddienst(en);
    • achterwege blijvende features.
  • Overgaan tot exit buiten verstrijken contractperiode
    Cloud_B.04.01cloudbeveiligingsbeleidHet cloudbeveiligingsbeleid bevat zowel organisatorisch als technische georiënteerde maatregelen, zoals:
  • Organische georiënteerde maatregelen:
    • informatiebeveiligingsvereisten die van toepassing zijn bij het ontwerp en de implementatie van de cloudservices;
    • communicatie met CSC in relatie tot en tijdens wijzigingen;
    • communicatie van beveiligingsinbreuken en het delen van informatie;
    • richtlijnen voor de ondersteuning van (forensische) onderzoeken;
    • compliancy maatregelen ten aanzien van wet- en regelgeving.
  • Technisch georiënteerde maatregelen:
    • multi-tenancy en isolatie van CSC;
    • toegangsprocedures e.g., sterke authenticatie voor toegang tot de cloudservices;
    • toegang tot en protectie van data van de CSC;
    • lifecycle-management van CSC-accounts;
    • risico’s gerelateerd aan niet geautoriseerde insiders;
    • virtualisatie beveiliging;
    • beveiligingsarchitectuur en -maatregelen voor het beschermen van data, applicaties en infrastructuur.
  • Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid
    Cloud_B.05.01systeembeschrijvingDe systeembeschrijving bevat de volgende aspecten:
  • type en scope van de clouddiensten weergegeven op basis van Service Level Agreements;
  • principes, procedures en maatregelen om ontwikkeling en operationalisering weer te geven;
  • beschrijving van de infrastructuurcomponenten die deel uitmaken van het ontwikkelen en operationaliseren van de clouddiensten;
  • hoe met beveiligingsincidenten wordt omgegaan;
  • rollen en verantwoordelijkheden van de CSP en CSC, inclusief de verplichting om samen te werken;
  • (welke) onderdelen van de clouddiensten en/of functies toegekend of uitbesteed zijn aan sub-contracten.
  • Bevatten diverse aspecten in systeembeschrijving
    Cloud_B.05.02jurisdictieDe SLA of systeembeschrijving voorziet in een specificatie van jurisdictie ten aanzien van data opslag, verwerking en back-up-locatie, ook als deze (of delen hiervan) uitbesteed is aan subcontractors.SLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatie
    Cloud_B.05.03onderzoeksmogelijkhedenDe SLA of systeembeschrijving voorziet in een specificatie voor publicatie-vereisten en onderzoeksmogelijkheden.SLA/systeembeschrijving bevat specificatie voor publicatie-vereisten en onderzoeksmogelijkheden
    Cloud_B.05.04certificatenDe SLA of systeembeschrijving voorziet in specificatie met betrekking tot het beschikbaar zijn van valide certificaten.SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificaten
    Cloud_B.06.01verantwoordelijkhedenDe verantwoordelijkheden van de CSP zijn onder andere:
  • het ontwikkelen van het informatiebeveiligingsrisicomanagementproces dat toespitst is op de omgeving van de CSP;
  • het identificeren van analyses van de stakeholders;
  • het definiëren van de rollen en verantwoordelijkheden van zowel interne als externe partijen;
  • het vaststellen van de vereiste relaties tussen de eigen organisatie en stakeholders, alsook de relatie met de hoog niveau risicomanagementfunctie en met relevante projecten of activiteiten.
  • Hebben CSP-verantwoordelijkheden
    Cloud_B.06.02verantwoordelijkhedenDe organisatie van het risicomanagementproces is goedgekeurd door managers van de CSP.Goedkeuren organisatie van risicomanagementproces
    Cloud_B.06.03risicomanagementprocesHet risicomanagementproces is systematisch beschreven met aandacht voor beleid, procedures en richtlijnen voor activiteiten ten aanzien van: communiceren, adviseren, vaststellen van de context van onderzoeken, behandelen, monitoren, reviewen, vastleggen en rapporteren van risico’s.Beschrijven risicomanagementproces
    Cloud_B.07.01IT-functionaliteitenVoor de beveiliging van IT-functionaliteiten (verwerking, opslag, transport en opvraag van informatie) zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.Treffen maatregelen voor beveiliging IT-functionaliteiten
    Cloud_B.07.02IT-functionaliteitenTechnische beveiligingsmaatregelen, in de vorm van sterke toegangsbeveiliging, encryptie en data-analyse methoden, zijn getroffen tegen bescherming van infrastructuur.Treffen technische beveiligingsmaatregelen tegen bescherming van infrastructuur
    Cloud_B.07.03IT-functionaliteitenDe IT-infrastructuur wordt, om veilige clouddiensten te kunnen verlenen, continue bewaakt en beheerst ter bescherming tegen bedreigingen.Bewaken en beheersen IT-infrastructuur
    Cloud_B.07.04robuuste en beveiligde systeemketenDe infrastructuur wordt ingericht op basis van betrouwbare hardware- en software-componenten.Inrichten infrastructuur met betrouwbare hardware- en software-componenten
    Cloud_B.07.05robuuste en beveiligde systeemketenEr zijn gedocumenteerde standaarden en procedures om geavanceerde cyberaanvallen het hoofd te bieden.Hebben van gedocumenteerde standaarden en procedures om hoofd te bieden tegen cyberaanvallen
    Cloud_B.08.01verantwoordelijkheid voor BCMDe CSP heeft een proceseigenaar voor het BCM-proces benoemd en hem verantwoordelijk gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor het vormgeven van BCM en compliancy met het uitgestippeld beleid.Benoemen proceseigenaar voor BCM-proces en geven verantwoordelijkheden
    Cloud_B.08.02verantwoordelijkheid voor BCMDe verantwoordelijke voor BCM stelt zeker, dat adequate resources beschikbaar zijn voor het uitvoeren van een effectief BCM-proces.Zeker stellen adequate resources voor uitvoeren van BCM-proces
    Cloud_B.08.03verantwoordelijkheid voor BCMHet management van de CSP committeert zich aan de vastgestelde BCM-vereisten.Committeren aan vastgestelde BCM-vereisten
    Cloud_B.08.04verantwoordelijkheid voor BCMHet BCM- en BIA-beleid (beleid voor Business Impact Analyses) is vastgesteld en gecommuniceerd.Vaststellen en communiceren BCM- en BIA-beleid
    Cloud_B.08.05beleid en proceduresBeleid en procedures voor het vaststellen van impact van storingen van cloudservices zijn gedocumenteerd en gecommuniceerd, waarbij aandacht wordt besteed aan:
  • beschikbaarheid van data en functionaliteit in relatie tot vendor lock-in en transitie naar andere CSP of exit-strategie (voor de mogelijke op risicoanalyse gebaseerde scenario’s);
  • identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van kritische producten en services;
  • identificaties van afhankelijkheden, processen, en business partners en derde partijen;
  • consequenties van verstoringen;
  • schattingen van vereiste resources voor herstel.
  • Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservices
    Cloud_B.08.06bedrijfscontinuïteitsplanningDe CSP beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit, waarin onder andere aandacht wordt besteed aan:
  • definiëring van de scope waarbij rekening wordt gehouden met de afhankelijkheden;
  • toegankelijkheidHoudt in dat informatie vindbaar, interpreteerbaar en uitwisselbaar is. van deze plannen voor verantwoordelijke functionarissen;
  • toewijzen van een verantwoordelijke voor review, update en goedkeuring;
  • definiëren van communicatiekanalen;
  • herstelprocedures;
  • methode voor het implementeren van het BCM-plan;
  • continu verbeteringsproces van het BCM-plan;
  • relaties met beveiligingsincidenten.
  • Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteit
    Cloud_B.08.07verificatie en updatenDe business impact analyses en continuïteitsplannen worden geverifieerd, geactualiseerd en regelmatig getest.Verifiëren, actualiseren en testen business impact analyses en continuïteitsplannen
    Cloud_B.08.08verificatie en updatenBij het testen wordt aandacht besteed aan de beïnvloeding van de CSC’s (tenants) en derde partijen.Besteden aandacht aan beïnvloeden van CSC’s (tenants) en derde partijen bij testen
    Cloud_B.08.09computercentraDe voorzieningen van de computercentra zijn veilig gesteld en worden gemonitord (bewaakt), onderhouden en regelmatig getest.Veiligstellen, monitoren, onderhouden en testen computercentra-voorzieningen
    Cloud_B.09.01beveiligingsaspecten en stadiaVoor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.Treffen maatregelen voor opslag, verwerking en transport van data
    Cloud_B.09.02toegang en privacyTer bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, DPIA, sterke toegangsbeveiliging en encryptie.Treffen maatregelen zoals data-analyse, DPIA, sterke toegangsbeveiliging en encryptie
    Cloud_B.09.03classificatie/labelenAan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op datatype, waarde, gevoeligheid en kritische gehalte voor de organisatie.Toekennen classificatie aan data en middelen waarin/waarop zich data bevindt
    Cloud_B.09.04classificatie/labelenData gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data.Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerken
    Cloud_B.09.05classificatie/labelenDe CSP past een uniforme classificatie toe voor informatie en middelen, die relevant zijn voor de ontwikkeling en aanbieden van clouddiensten.Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddiensten
    Cloud_B.09.06eigenaarschapHet eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld.Vaststellen eigenaarschap van middelen die deel uitmaken van clouddiensten
    Cloud_B.09.07eigenaarschapIn de overeenkomst tussen CSP en CSC is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten.Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienst
    Cloud_B.09.08locatieDe CSP specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen.Specificeren en documenteren opslag op welke locatie data
    Cloud_B.10.01beveiligingsfunctieDe beveiligingsfunctie, die geleid wordt door een CSO, ondersteunt de CSP voor het bewerkstelligen en promoten van cloudbeveiligingsbeleid door:
  • het ontwikkelen en onderhouden van beveiligingsstrategie en -beleid;
  • het ontwikkelen van beveiligingsstandaarden, procedures en richtlijnen;
  • het definiëren van een set beveiligingsdiensten;
  • het coördineren van beveiliging door de gehele organisatie;
  • het monitoren van de effectiviteit van de clouddienstreglementen;
  • het bieden van overzicht van en het doen van onderzoeken naar beveiligingsdiensten.
  • Bewerkstelligen en promoten cloudbeveiligingsbeleid
    Cloud_B.10.03organisatorische positieDe CSP heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. NB Dit een voorstel van de WGR en SGR.Geven positie van informatiebeveiligingsorganisatie binnen organisatie
    Cloud_B.10.04taken, verantwoordelijkheden en bevoegdhedenDe CSP heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. beschreven en toegewezen aan specifieke functionarissen. NB Deze tekst is een specifieke overheidsmaatregel uit de BIO.Toewijzen verantwoordelijkheden voor definiëren, coördineren en evalueren van informatiebeveiliging
    Cloud_B.10.05taken, verantwoordelijkheden en bevoegdhedenDe taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix.Vastleggen taken, verantwoordelijkheden en bevoegdheden in autorisatiematrix
    Cloud_B.10.06functionarissenDe belangrijkste functionarissen (stakeholders) voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.Benoemen functionarissen voor informatiebeveiliging en onderlinge relaties inzichtelijk maken
    Cloud_B.10.07rapportagelijnenDe verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld.Vaststellen verantwoordings- en rapportagelijnen tussen betrokken functionarissen
    Cloud_B.10.08rapportagelijnenHet type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.Vaststellen type, frequentie en eisen voor inhoudelijke rapportages
    Cloud_B.11.01raamwerkHet raamwerk bevat de volgende aspecten:
    • beveiligingsbeleid CSP op basis van principes, wet- en regelgeving;
    • functioneel; type en scope van de clouddiensten;
    • zoneringsmodel voor scheiding tussen CSC’s;
    • trust framework (afspraken en maatregelen ter bevordering van vertrouwens relatie);
    • SLA’s en valide certificaten;
    • risicomanagement.
    Bevatten diverse aspecten voor raamwerk
    Cloud_B.11.02samenhang en afhankelijkhedenDe onderlinge samenhang tussen IT-functionaliteiten die bij het aanbieden, gebruiken en onderhouden van clouddiensten zijn betrokken, zijn benoemd en beschreven.Beschrijven van de samenhang tussen IT-functionaliteiten bij clouddienst-aanbieding, -gebruik en -onderhoud

    Uitvoering (normen)

    export normen Uitvoering als csv

    IDtrefwoordStellingNorm
    Cloud_U.01.01nationale standaardenDe CSP maakt haar dienstverlening transparant, zodat de CSC aantoonbaar aan de voor haar verplichte BIO en Pas-toe-of-leg-uit standaarden kan voldoen.Maken transparante dienstverlening
    Cloud_U.01.02internationale standaardenDe CSP treft beveiligingsmaatregelen op basis van internationale standaarden, zoals:
    • NEN-ISO/IEC 27017: Code of practice for cloud services;
    • ITU-T FG Cloud TR 1.0 2012; Part 5 Cloud Security;
    • NEN-ISO/IEC 17788: Overview and vocabulary;
    • NEN-ISO/IEC 17789: Reference architecture;
    • NEN-ISO/IEC 27018 Personally indentifiable information (PII) in public clouds;
    • NEN-ISO/IEC 19941: Interoperability and portability;
    • NEN-ISO/IEC 19944: Cloud services and devices;
    • NIST Definition of Cloud Computing, SP800-145.pdf, September 2011;
    • BSI.
    Treffen beveiligingsmaatregelen op basis van internationale standaarden
    Cloud_U.02.01risico-analyseDe risico’s ten aanzien van de middelen die binnen de scope van clouddiensten ressorteren, worden geïdentificeerd, op waarde geschat (gekwantificeerd of gekwalificeerd) en beschreven op basis van risico-evaluatiecriteria en -doelstellingen van de CSP.Op waarde schatten en beschrijven van risico’s rond middelen vallend binnen clouddienstenscope
    Cloud_U.02.02risico-evaluatieDe geïdentificeerde risico’s worden geëvalueerd op basis van risico-acceptatiecriteria.Evalueren risico’s op basis van risico-acceptatiecriteria
    Cloud_U.03.01redundantieDe overeengekomen continuïteit wordt gewaarborgd door middel van voldoende logische of fysieke meervoudig uitgevoerde systeemfuncties.Waarborgen continuïteit door voldoende logische of fysieke meervoudig uitgevoerde systeemfuncties
    Cloud_U.03.02continuïteitseisenDe met de CSC-organisatie overeengekomen continuïteitseisen voor cloudservices wordt gewaarborgd door middel van specifieke in de systeemarchitectuur beschreven maatregelen.Waarborgen van continuïteitseisen door specifieke in systeemarchitectuur beschreven maatregelen
    Cloud_U.04.01herstelfunctieDe data en clouddiensten worden in geval van calamiteiten binnen de overeengekomen periode en maximale dataverlies hersteld en aan de CSC beschikbaar gesteld.Herstellen data en clouddiensten bij calamiteiten en beschikbaar stellen
    Cloud_U.04.02herstelfunctieHet continue proces van herstelbaar beveiligen van data wordt gemonitord.Monitoren proces van herstelbaar beveiligen van data
    Cloud_U.04.03getestHet toereikend functioneren van de herstelfuncties wordt periodiek getest door gekwalificeerd personeel en de resultaten daarvan worden gedeeld met de CSC.Testen functioneren van herstelfuncties en resultaten daarvan delen
    Cloud_U.05.01cryptografische maatregelenGegevenstransport wordt ‘state of the art’ beveiligd met cryptografie (conform forum standaardisatie) en waarbij het sleutelbeheer zo mogelijk door de CSC zelf wordt uitgevoerd.‘State of the art’ beveiligen gegevenstransport met cryptografie, met zelf uitgevoerd sleutelbeheer
    Cloud_U.05.02cryptografische maatregelenDe binnen de clouddienst opgeslagen gegevens worden ‘state of the art’ beveiligd met encryptie en met een tenminste voor het doel toereikende sleutellengte, waarbij het sleutelbeheer zo mogelijk niet als clouddienst wordt afgenomen en door de CSC zelf wordt uitgevoerd.‘State of the art’ binnen clouddienst opgeslagen gegevens beveiligen met encryptie
    Cloud_U.06.01bewaartermijnDe gegarandeerde en met de CSP overeengekomen opslagduur is contractueel vastgelegd en voldoet aan de Archiefwet.Vastleggen gegarandeerde overeengekomen opslagduur en voldoen aan Archiefwet
    Cloud_U.06.02technologie-onafhankelijk raadpleegbaarGegevens zijn onafhankelijk van de door de CSP toegepaste technologie raadpleegbaar gedurende de gehele bewaartermijn.Raadplegen gegevens, onafhankelijk van technologie gedurende bewaartermijn
    Cloud_U.06.03onveranderbaarGegevens worden zo mogelijk gearchiveerd met behulp van WORM (Write Once Read Many) technologie, waarmee de integriteit van de data wordt gegarandeerd.Archiveren gegevens met behulp van WORM-technologie
    Cloud_U.06.04vernietigdVoorafgaand aan het voor onderhoudsdoeleinden wijzigen van opslagmedia, wordt de data van de CSC, inclusief de back-up van gegevens en metadata, veilig gewist of vernietigd.Wissen of vernietigen CSC-data voorafgaand aan voor onderhoudsdoeleinden wijzigen van opslagmedia
    Cloud_U.06.05vernietigdBij het beëindigen van de contractrelatie wordt de data van de CSC, inclusief de back-up van gegevens en de metadata veilig gewist, om te voorkomen dat de CSC-gegevens naderhand door de CSP kunnen worden hersteld, bijvoorbeeld met forensische hulpmiddelen.Wissen CSC-data bij beëindigen van contractrelatie
    Cloud_U.07.01geïsoleerdPermanente isolatie van gegevens wordt gerealiseerd binnen een multi-tenant architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en patches en aanpassingen van applicaties en infrastructuur worden op een gecontroleerde wijze gerealiseerd voor alle clouddiensten die de CSC afneemt.Permanente isolatie van gegevens binnen een multi-tenant architectuur
    Cloud_U.07.02geïsoleerdIsolatie van de CSC-gegevens wordt gegarandeerd door deze onder alle bedrijfsomstandigheden minimaal logisch te scheiden van de data van andere CSC’s.Garanderen isolatie van CSC-gegevens door logische scheiding van andere CSC’s-data
    Cloud_U.07.03beheerfunctiesDe bevoegdheden voor het inzien of wijzigen van CSC-data en/of van encryptiesleutels door beheerfuncties en beheerders worden gecontroleerd verleend en het gebruik van deze rechten wordt gelogd.Verlenen bevoegdheden voor inzien of wijzigen en/of encryptiesleutels plus loggen rechtengebruik
    Cloud_U.08.01gescheidenDe CSP realiseert de volgende scheiding van clouddienstverlening:
  • onderlinge scheiding van de CSC’s in een multi-tenant omgeving;
  • scheiding tussen de afgenomen cloud-service en de interne informatievoorziening van de CSP;
  • de CSP maakt het mogelijk om de beoogde scheiding van clouddiensten te verifiëren.
  • Realiseren diverse scheidingen van clouddienstverlening
    Cloud_U.09.01beheersmaatregelenDe CSP specificeert, als onderdeel van de overeenkomst, welke maatregelen (voor onder andere malware-protectie) op welke positie in de informatieketen van CSC en CSP moeten worden genomen.Specificeren welke maatregelen op welke positie in informatieketen moeten worden genomen
    Cloud_U.09.02beheersmaatregelenDe CSP heeft de voor ontwikkeling en exploitatie van clouddiensten gebruikte IT-systemen en netwerkperimeters waarvoor zij verantwoordelijk is, uitgerust met tools ter bescherming en verwijdering van malware.Uitrusten voor ontwikkeling en exploitatie van clouddiensten gebruikte IT-systemen en netwerkperimeter
    Cloud_U.09.03detectie, preventie en herstelDe malware-bescherming wordt op verschillende omgevingen uitgevoerd, zoals op mailservers, (desktop)computers en bij de toegang tot het netwerk van de organisatie. De scan op malware omvat onder andere:
    1. alle bestanden die via netwerken of via elke vorm van opslagmedium zijn ontvangen, nog vóór het gebruik;
    2. alle bijlagen en downloads nog vóór het gebruik;
    3. virtual machines;
    4. netwerkverkeer.
    Uitvoeren malware-bescherming op verschillende omgevingen en bij toegang tot netwerk van organisatie
    Cloud_U.10.01gebruikersDe CSP biedt de CSC uitsluitend toegang tot services, IT-diensten en data waarvoor zij specifiek bevoegd is.
    • technische maatregelen voorkomen dat gebruikers en beheerders, toegang hebben tot services, IT-diensten en data buiten datgene wat formeel is toegestaan;
    • gebruikers met nood-toegangsrechten (in geval van calamiteiten, wanneer acties niet door bevoegde beheerders kunnen worden uitgevoerd) is gedocumenteerd, door het management geaccordeerd en wordt uitgevoerd op basis van functiescheiding. Nood-toegang is geactiveerd zolang als nodig is voor de corresponderende taak/taken.
    Bieden toegang tot bevoegde services, IT-diensten en data
    Cloud_U.10.02gebruikersOnder verantwoordelijkheid van de CSP wordt aan beheerders:
  • toegang tot data wordt verleend op basis van het ‘Least Privilege’ principe;
  • toegang tot data wordt verleend op basis van ‘need-to-know’ principe;
  • toegang verleend op basis van multi-factor authenticatie;
  • toegang verleend tot data en applicatieve functies via technische maatregelen.
  • Verlenen toegang aan beheerders
    Cloud_U.10.03gebruikersAlleen gebruikers met geauthentiseerde apparatuur krijgen toegang tot IT-diensten en data.Krijgen toegang tot IT-diensten en data
    Cloud_U.10.04bevoegdOnder de verantwoordelijkheid van de CSP worden bevoegdheden (systeemautorisaties) voor gebruikers toegekend via formele procedures.Toekennen bevoegdheden voor gebruikers via formele procedures
    Cloud_U.10.05bevoegdToegang tot IT-diensten en data is beperkt door technische maatregelen en is geïmplementeerd, bijvoorbeeld met het rollen en rechten concept.Beperken toegang tot IT-diensten en data door technische maatregelen en implementeren
    Cloud_U.11.01beleidIn het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
    1. wanneer cryptografie ingezet wordt;
    2. wie verantwoordelijk is voor de implementatie van cryptologie ;
    3. wie verantwoordelijk is voor het sleutelbeheer;
    4. welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast;
    5. de wijze waarop het beschermingsniveau vastgesteld wordt;
    6. het onderling vaststellen van het beleid voor communicatie tussen organisaties.
    Uitwerken cryptografiebeleid
    Cloud_U.11.02cryptografische maatregelenIn geval van PKI-overheidscertificaten worden de PKI-overheidseisen gehanteerd ten aanzien van het sleutelbeheer. In overige situaties worden de ISO 11770 standaard voor het beheer van cryptografische sleutels gehanteerd.Hanteren PKI-overheidseisen en ISO 11770 voor sleutelbeheer
    Cloud_U.11.03versleuteldGevoelige data (op transport en in rust) is altijd versleuteld, waarbij private-key’s in beheer zijn bij de CSC. Het gebruik van een private-sleutel door de CSP is gebaseerd op een gecontroleerde procedure en moet gezamenlijk worden overeengekomen met de CSC-organisatie.Versleutelen gevoelige data en private-sleutelgebruik baseren op gecontroleerde overeengekomen procedure
    Cloud_U.12.01netwerkconnectiesIn koppelpunten met externe of onvertrouwde zones zijn maatregelen getroffen om mogelijke aanvallen die de beschikbaarheid van de informatievoorziening negatief beïnvloeden (zoals DDoS-aanvallen en Distributed Denial of Service attacks) te signaleren en hierop te reageren.Treffen maatregelen in koppelpunten met externe of onvertrouwde zones
    Cloud_U.12.02netwerkconnectiesFysieke en gevirtualiseerde netwerkcomponenten zijn zodanig ontworpen en geconfigureerd, dat netwerkconnecties tussen vertrouwde en onvertrouwde netwerken worden beperkt en gemonitord (bewaakt).Ontwerpen en configureren netwerkcomponenten om netwerkconnecties te beperken en te monitoren
    Cloud_U.12.03netwerkconnectiesBeheeractiviteiten van de CSP zijn strikt gescheiden van de data CSC.Scheiden CSP-beheeractiviteiten en CSC-data
    Cloud_U.12.04netwerkconnectiesDataverkeer voor CSC’s zijn in gezamenlijk gebruikte netwerkomgevingen gescheiden volgens een gedocumenteerd concept voor de op netwerkniveau (logische) segmentatie van CSC’s, om zo de integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van de verzonden gegevens te garanderen.Scheiden dataverkeer in gezamenlijk gebruikte netwerkomgevingen
    Cloud_U.12.05bewaaktHet dataverkeer dat de CSP binnenkomt of uitgaat wordt, in relatie tot de aard van de te beschermen gegevens/informatiesystemen, bewaakt en geanalyseerd op kwaadaardige elementen middels detectievoorzieningen.Bewaken en analyseren dataverkeer op kwaadaardige elementen
    Cloud_U.12.06bewaaktDe CSP heeft Intrusion Detection Prevention (IDP) en Intrusion Detection System (IDS) geïntegreerd in een alles omvattend SIEM, zodat beveiligingsgebeurtenissen en onbekende apparatuur vanuit de benodigde technische maatregelen worden opgemerkt en correctieve maatregelen kunnen worden genomen.Integreren Intrusion Detection Prevention en Intrusion Detection System in SIEM
    Cloud_U.12.07beheerstOntdekte nieuwe dreigingen worden, rekening houdend met geldende juridische kaders, verplicht gedeeld binnen de overheid, waaronder met het NCSC (alleen voor rijksoverheidsorganisaties) of de sectorale CERT en bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing).Delen nieuwe dreigingen binnen overheid
    Cloud_U.13.01coördinatieCloud-orkestratietechnologie functioneert met heterogene systemen en mogelijk wereldwijde cloud-implementatie (op verschillende geografische locaties en met verschillende CSP’s).Functioneren orkestratietechnologie met heterogene systemen en mogelijk wereldwijde cloud-implementatie
    Cloud_U.13.02service-componentenDe functionele samenhang van de service-componenten zijn beschreven.Beschrijven functionele samenhang van service-componenten
    Cloud_U.13.03service-componentenVoor orkestratie van cloudservices is de volgende informatie benodigd:
    • de CSC-identiteit;
    • de bedrijfsrelatie van de CSC binnen het cloudnetwerk;
    • het IP-adres van de CSC.
    Zorgen voor benodigde informatie voor orkestratie van cloudservices
    Cloud_U.14.01interoperabiliteitInteroperabiliteit is het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgevingOm de interoperabiliteitInteroperabiliteit is het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgeving van cloudservices te garanderen, zijn gegevens beschikbaar conform erkende industrie-standaarden en gedocumenteerde invoer- en uitvoerinterfaces.Hebben beschikbare gegevens om interoperabiliteit van cloudservices te garanderen
    Cloud_U.14.02portabiliteitOm de portabiliteit van de data te garanderen, maakt de CSP gebruik van beveiligde netwerkprotocollen voor de import en export van data en waarmee de integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen wordt gegarandeerd.Gebruiken beveiligde netwerkprotocollen voor import en export van data
    Cloud_U.15.01gebeurtenissen geregistreerdHet overtreden van de beleidsregels wordt door CSP en CSC vastgelegd.Vastleggen beleidsregel-overtreding
    Cloud_U.15.02gebeurtenissen geregistreerdDe SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd aan het verantwoordelijk management.Hebben SIEM- en/of SOC-regels over te rapporteren incident
    Cloud_U.15.03gebeurtenissen geregistreerdDe CSP hanteert een lijst van alle activa die kritisch zijn in termen van logging en monitoring en beoordeelt deze lijst regelmatig op correctheid.Hanteren en beoordelen lijst van alle kritische activa
    Cloud_U.15.04gebeurtenissen geregistreerdAan logboeken en bewaking worden strenge eisen gesteld; voor de kritieke componenten zijn geavanceerde beveiligingen voor logboeken en bewaking gedefinieerd.Stellen eisen aan logboeken en bewaking
    Cloud_U.15.05gebeurtenissen geregistreerdDe toegang tot en het beheer van de loggings- en monitoringsfunctionaliteit is beperkt tot geselecteerde en geautoriseerde medewerkers van de CSP.Beperken toegang tot en beheer van loggings- en monitoringsfunctionaliteit tot CSP-medewerkers
    Cloud_U.15.06gebeurtenissen geregistreerdWijzigingen in de logging en monitoring worden gecontroleerd door onafhankelijke en geautoriseerde medewerkers (logregels mogen nooit worden gewijzigd; deze zijn immers bedoeld om als bewijslast te kunnen gebruiken).Controleren wijzigingen in logging en monitoring
    Cloud_U.16.01samenhangDe architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. specificeert ten minste het volgende:
  • IT-services in relatie met functionaliteit voor bedrijfsprocessen;
  • het vertrouwensniveau van de beveiliging van de clouddiensten;
  • beschrijving van de infrastructuur en de netwerk- en systeemcomponenten die worden gebruikt voor de ontwikkeling en de werking van de cloudservice(s);
  • rollen en verantwoordelijkheden van de CSP en de CSC, inclusief de plichten om samen te werken en de bijbehorende controles bij de CSC;
  • IT-functies die door de CSP zijn toegewezen of uitbesteed aan onderaannemers.
  • Specificeren minimale zaken voor architectuur
    Cloud_U.17.01versleuteldCSC-data op transport en in rust is versleuteld.Versleutelen CSC-data op transport en in rust
    Cloud_U.17.02gescheidenVirtuele machine-platforms voor CSC’s met speciale/verhoogde beveiligingsvereisten zijn gescheiden ingericht.Gescheiden inrichten virtuele machine-platforms voor CSC’s
    Cloud_U.17.03gehardendeVirtuele machine-platforms zijn gehardend.Hardenen virtuele machine-platforms

    Control (normen)

    export normen Control als csv

    IDtrefwoordStellingNorm
    Cloud_C.01.01richtlijnenDe CSP beschikt voor de clouddiensten over richtlijnen voor de inrichting van de service-management-organisatie.Beschikken over richtlijnen voor inrichting van service-management-organisatie
    Cloud_C.01.02richtlijnenDe CSP heeft relevante beheerprocessen beschreven en effectief ingericht conform een vastgestelde cyclus, waaronder: registratie, statusmeting, monitoring, analyse, rapportage en evaluatie.Beschrijven en inrichten relevante beheerprocessen
    Cloud_C.01.03controle-activiteiten en rapportagesDe CSP beschikt ten aanzien van clouddiensten over richtlijnen voor het:
    • uitvoeren van controle-activiteiten, waaronder penetratietests en kwetsbaarheid testen;
    • evalueren van en rapporteren over de performance, conformance en leveringsprestaties.
    Richtlijnen voor uitvoeren controle-activiteiten en evalueren van en rapporteren over prestaties
    Cloud_C.02.01gemonitord en gereviewdDe CSP verifieert regelmatig de criteria die gebruikt worden om de risico te meten en om vast te stellen of ze steeds consistent zijn met organisatiedoelstellingen, de strategie, het beleid en/of de context van de organisatie steeds in beschouwing worden genomen.Verifiëren van criteria voor risicometing en vaststelling consistentie van criteria
    Cloud_C.02.02gemonitord en gereviewdDe vastgesteld risico’s worden in relatie met de factoren: waarde van de assets, dreigingen, zwakheden, kans op voorkomen en impact, te worden gemonitord en geëvalueerd, om een complete risico beeld te behouden en tijdig veranderingen vast te (kunnen) stellen.Monitoren en evalueren risico’s voor behouden risicobeeld en tijdige vaststelling van veranderingen
    Cloud_C.02.03gemonitord en gereviewdDe CSP zal, met betrekking tot het monitoren van risico, zich continu richten op:
  • nieuwe assets die deel behoren uit te maken van de scope van risico-assessment;
  • veranderingen in de waarde van assets;
  • de mogelijkheid dat nieuwe of toegenomen zwakheden kunnen leiden tot dreigingen;
  • de mogelijkheid dat eerder vastgestelde zwakheden aan nieuwe dreigingen blootstaan;
  • toegenomen impact of consequenties van de beoordeelde risico’s en zwakheden resulterend in een onacceptabel risiconiveau;
  • informatiebeveiligingsincidenten.
  • Richten op diverse zaken met betrekking tot monitoren van risico
    Cloud_C.02.04gemonitord en gereviewdDe CSP voert regelmatig de monitoringsactiviteiten uit en mitigeert de vastgestelde risico’s.Uitvoeren monitoringsactiviteiten en mitigeren risico’s
    Cloud_C.02.05gemonitord en gereviewdBij het monitoring en reviewen worden onder andere de volgende elementen geadresseerd:
  • wet- en regelgeving en organisatorische/technische context;
  • risico-assessmentaanpak;
  • waarde assets en categorieën;
  • risico-evaluatie-criteria;
  • risico-acceptatie-criteria.
  • Adresseren diverse elementen bij monitoring en reviewen
    Cloud_C.03.01compliancyTen behoeve van de governance van de clouddienstverlening aan de CSC heeft de CSP een compliance-proces ingericht, op basis waarvan de continue compliance op wet- en regelgeving en het overeengekomen cloudbeveiligingsbeleid vorm wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.Inrichten compliance-proces voor governance van clouddienstverlening
    Cloud_C.03.02compliancyDe CSP registreert de regulier uitgebrachte prestatie-, beveiligings- en compliance-rapportages in een administratie.Registreren reguliere rapportages in administratie
    Cloud_C.03.03compliancyHet compliance-proces is bij voorkeur aangesloten op een Information Security Management System (ISMS).Aansluiten compliance-proces op ISMS
    Cloud_C.03.04assuranceDe CSP laat jaarlijks door een derde partij een onderzoek (audit) uitvoeren op de inrichting en beheersing van de gecontacteerde clouddiensten.Uit laten voeren onderzoek op inrichting en beheersing van clouddiensten
    Cloud_C.03.05assuranceBij de assessment wordt door de derde partij zowel de cloud-omgeving als de administratie betrokken.Betrekken cloud-omgeving en administratie bij assessment
    Cloud_C.03.06aansluitingDe CSP zorgt ervoor dat de uitkomsten uit de jaarlijkse assurance-rapportage (TPM), de uitkomsten van de periodieke servicerapportages, en de uitkomsten uit de continue compliance op het cloudbeveiligingsbeleid op elkaar aansluiten.Aansluiten uitkomsten uit diverse rapportages e.d.
    Cloud_C.04.01technische kwetsbaarhedenDe CSP stelt de CSC informatie beschikbaar over het beheer van de technische kwetsbaarheden die de clouddiensten kunnen beïnvloeden.Beschikbaar stellen informatie over beheer van technische kwetsbaarheden
    Cloud_C.04.02technische kwetsbaarhedenDe CSP heeft de rollen en verantwoordelijkheden in relatie tot het beheersen van technische kwetsbaarheden, waaronder coördineren, monitoren, beoordelen van risico’s en mitigeren van kwetsbaarheden, gedefinieerd en vastgesteld.Definiëren en vaststellen rollen en verantwoordelijkheden
    Cloud_C.04.03technische kwetsbaarhedenAls de kans op misbruik en de verwachte schade beiden hoog zijn (NCSC classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen.Installeren patches en treffen mitigerende maatregelen
    Cloud_C.04.04technische kwetsbaarhedenHet tijdspad, waarbinnen gereageerd moet worden op de aankondigingen van potentieel relevante kwetsbaarheden, is gedefinieerd.Definiëren tijdspad waarbinnen gereageerd moet worden op aankondiging kwetsbaarheid
    Cloud_C.04.05technische kwetsbaarhedenPeriodiek worden penetratietests op de ICT-componenten uitgevoerd om zwakheden te identificeren.Uitvoeren penetratietests op ICT-componenten
    Cloud_C.04.06technische kwetsbaarhedenTechnische zwakheden kunnen worden verholpen door het tijdig uitvoeren van patchmanagement, wat inhoud:
  • het identificeren, registreren en verwerven van patches;
  •  de besluitvorming rond het inzetten van patches;
  • het testen van patches;
  • het uitvoeren van patches;
  • het registreren van doorgevoerde patches.
  • Verhelpen technische zwakheden door patchmanagement
    Cloud_C.04.08geëvalueerdDe evaluatierapportages bevatten verbeteringsvoorstellen en worden gecommuniceerd met de verantwoordelijken/eigenaren van de ICT-componenten waarin kwetsbaarheden en zwakheden gevonden zijn.Communiceren verbeteringsvoorstellen uit evaluatierapportages en communiceren met de verantwoordelijken
    Cloud_C.05.01gemonitord en gerapporteerdRichtlijnen en afspraken voor het monitoren en rapporteren over informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. van de cloud-omgeving zijn vastgesteld en worden toegepast.Vaststellen en toepassen richtlijnen en afspraken voor monitoren en rapporteren
    Cloud_C.05.02gemonitord en gerapporteerdHet monitoren en rapporteren over de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. is gerelateerd aan:
  • de geformuleerde strategische en bedrijfsdoelen;
  • de risico’s die het bereiken van de strategische doelen kunnen beïnvloeden;
  • de beveiligingsincidenten, zoals cybersecurity-aanvallen.
  • Monitoren en rapporteren over informatiebeveiliging is gerelateerd doelen, risico en beveiligingsincidenten
    Cloud_C.05.03gemonitord en gerapporteerdHet monitoren van informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. en rapportages vindt plaats op basis van:
  • het verzamelen van informatie uit interne en externe bronnen;
  • inzicht op basis van verzamelde informatie uit de combinatie van Key Performance Indicatoren (KPI) en Key Risk Indicatoren (KRI).
  • Monitoren informatiebeveiliging en rapportages op basis van verzamelde informatie en inzicht
    Cloud_C.05.04gemonitord en gerapporteerdDe informatiebeveiligingsrapportages worden in samenhang met rapportages uit andere beheerdisciplines (compliance en assurance management, en vulnerability management) geanalyseerd.Analyseren informatiebeveiligingsrapportages in samenhang
    Cloud_C.05.05gemonitord en gerapporteerdAantoonbaar wordt opvolging gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de verbeteringsvoorstellen uit de analyse-rapportages.Opvolgen verbeteringsvoorstellen uit analyse-rapportages
    Cloud_C.05.06gemonitord en gerapporteerdDe beveiligingsplannen worden periodiek geactualiseerd en toegewezen aan hiervoor verantwoordelijke functionarissen.Actualiseren beveiligingsplannen en toewijzen aan verantwoordelijken
    Cloud_C.06.01processtructuurDe samenhang van de processen wordt in een processtructuur vastgelegd.Vastleggen samenhang van processen in processtructuur
    Cloud_C.06.02taken, verantwoordelijkheden en bevoegdhedenDe CSP heeft de taken en verantwoordelijkheden voor de uitvoering van de beheer(s)werkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix.Beschrijven taken, verantwoordelijkheden en bevoegdheden voor uitvoeren beheer(s)werkzaamheden
    Cloud_C.06.03functionarissenDe belangrijkste functionarissen (stakeholders) voor de beheersingsorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.Benoemen functionarissen voor beheersingsorganisatie en inzichtelijk maken onderlinge relaties