BIO Thema-uitwerking Clouddiensten
| ID: | CLD |
|---|---|
| Normenkader | |
| Versie: | 2.4 |
| Status: | Actueel |
Beleidsdomein
Doelstelling
De doelstelling van het beleidsdomein is het identificeren en beschrijven van de conditionele elementen die voorwaardelijk zijn voor het inrichten, beveiligen en beheersen van clouddiensten. De hierbij van belang zijnde beveiligingsobjecten zijn uitgewerkt in controls en gerelateerde maatregelen.
Risico’s
Als de juiste beleidsaspecten voor de inrichting en het onderhoud van clouddiensten ontbreken, bestaat het risico dat onvoldoende sturing wordt gegeven aan een veilige inrichting en exploitatie van deze diensten. Daardoor komt de informatievoorziening van de organisatie als geheel in gevaar en bestaat er een reële kans dat datalekken optreden.
Objecten, controls en maatregelen
Per specifiek beveiligingsobject worden de control (hoofdnorm) en de maatregelen (subnormen) beschreven in de navolgende paragrafen.
Binnen dit normenkader
Inleidende teksten
- BIO Thema Clouddiensten - Voorwoord
- BIO Thema Clouddiensten - Inleiding (algemene inleiding)
- Risico's in relatie tot clouddiensten (specifieke inleiding)
- Verantwoording (toelichting)
- Cloudbeveiligingsobjecten in het beleidsdomein (toelichting)
- Cloudbeveiligingsobjecten in het uitvoeringsdomein (toelichting)
- Cloudbeveiligingsobjecten in het control-domein (toelichting)
- Beslisboom voor risicobeoordeling IV-diensten (toelichting)
- Samenvatting AIVD-standpunt en beleidsverkenning BZK (toelichting)
Relatie tussen principes en onderliggende normen
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.
Indelingen binnen BIO Thema-uitwerking Clouddiensten
Alle onderdelen van BIO Thema-uitwerking Clouddiensten zijn ingedeeld volgens de SIVA-methodiek. Dat betekent dat alle principes en onderliggende normen zijn ingedeeld in één van drie beveiligingsaspecten: Beleid (B), Uitvoering (U) of Control (C). Binnen normenkaders die geheel volgens de SIVA-methodiek zijn opgesteld, herken je bovendien een tweede indeling, in de invalshoeken Intentie (I) of Functie (F) of Gedrag (G) of Structuur (S). Deze indeling heeft binnen SIVA tot doel om lacunes te ontdekken in de objectanalyse die leidt tot normen. Voor De Privacy Baseline en Grip op Secure Software Development geldt een uitzondering. Daar heeft de invalshoek geen rol gespeeld bij de samenstelling van het 'normenkader'.
De principes en onderliggende normen van BIO Thema-uitwerking Clouddiensten zijn op basis hiervan in een aantal overzichten gezet:
Principes uit BIO Thema-uitwerking Clouddiensten
In deze tabel staan alle principes uit BIO Thema-uitwerking Clouddiensten, met het unieke ID, Criterium en de conformiteitsindicatoren die verder zijn uitgewerkt in normen. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabellen zijn ook beschikbaar als csv-download (export alle beveiligingsaspecten / beleid / uitvoering / Control)
en in uitgebreide versie met alle bestaande eigenschappen.
Beleid (principes)
export principes Beleid als csv
| ID | Principe | Criterium |
|---|---|---|
| CLD_B.01 | Beleidsregels voor informatiebeveiliging bij de inzet van clouddiensten | Informatiebeveiligingsbeleid en onderwerp specifieke beleidsregels voor de inzet van clouddiensten behoren te worden gedefinieerd, goedgekeurd door het management, gepubliceerd, gecommuniceerd aan en erkend door relevant personeel en relevante belanghebbenden en met geplande tussenpozen en als zich significante wijzigingen voordoen, te worden beoordeeld. |
| CLD_B.02 | Rollen en verantwoordelijkheden bij informatiebeveiliging in de keten CSC-CSP | Rollen en verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen overeenkomstig de behoeften en privacy-vereisten van de betrokken organisaties. |
| CLD_B.03 | Identificeren van de relevante wet- en regelgeving | De CSC en CSP behoren contact met de relevante instanties te leggen en te onderhouden, zij behoren daarbij de wettelijke, statutaire, regelgevende en contractuele eisen die relevant zijn voor informatiebeveiliging en de aanpak van de organisatie om aan deze eisen te voldoen, te identificeren, te documenteren en actueel te houden. |
| CLD_B.04 | Waarborgen van de wet- en regelgeving bij de selectie van een CSP | De wet- en regelgeving van toepassing op de verwerking van vertrouwelijke gegevens en de verwerking buiten de grenzen van de EER is duidelijk. |
| CLD_B.05 | Risicoafweging bij de selectie van een clouddienst van een CSP | Op basis van vooraf vastgestelde informatiebeveiligings- en privacy-eisen wordt een risicoanalyse en DPIA uitgevoerd alvorens een clouddienst van een CSP te selecteren. |
| CLD_B.06 | Risicoafweging voorafgaand aan de verwerking van persoonsgegevens | De verwerking van persoonsgegevens vindt pas plaats na het uitvoeren van een (pre-scan of formele) DPIA, terwijl de opslag en verwerking van een basisregistratie pas plaatsvindt na advies van CIO Rijk, de besluitvorming is openbaar. |
| CLD_B.07 | Afspraken over risicomanagement tijdens de inzet van de clouddienst | Informatie met betrekking tot informatiebeveiligingsdreigingen behoort te worden verzameld en geanalyseerd op basis van informatie over dreigingen in geselecteerde interne en externe bronnen, dit start al voorafgaand aan het inzetten van de clouddienst en geldt voor de gehele (toeleverings)keten van ICT-producten en -diensten. |
Uitvoering (principes)
export principes Uitvoering als csv
| ID | Principe | Criterium |
|---|---|---|
| CLD_U.01 | Leveranciersovereenkomsten | Relevante informatiebeveiligingseisen behoren te worden vastgesteld en met elke leverancier op basis van het type leveranciersrelatie te worden overeengekomen, hierbij wordt ook gekeken naar de toeleveringsprocessen van de CSP. |
| CLD_U.02 | Retourneren, verplaatsen en verwijderen van bedrijfsmiddelen | De CSP behoort, conform de exitstrategie van de CSC, alle bedrijfsmiddelen van de organisatie die zij in hun bezit hebben bij beëindiging of wijziging van de dienst, contract of overeenkomst te retourneren, te kunnen verplaatsen of op verzoek te verwijderen en biedt hiervoor passende voorzieningen. |
| CLD_U.03 | Veilige software | Voor het veilig ontwikkelen van software en het voorkomen van besmetting met malware zijn regels vastgesteld en toegepast. |
| CLD_U.04 | Wijzigingsbeheer | Wijzigingen in de clouddienst behoren onderworpen te zijn aan procedures voor wijzigingsbeheer, zodat het belang van de CSC wordt meegenomen en de CSC van een wijziging op de hoogte is. |
| CLD_U.05 | Intellectuele eigendomsrechten | De organisatie behoort passende procedures te implementeren om intellectuele eigendomsrechten te beschermen. |
| CLD_U.06 | Kloksynchronisatie | De klokken van informatieverwerkende systemen die door de organisatie worden gebruikt, behoren te worden gesynchroniseerd met goedgekeurde tijdsbronnen. |
| CLD_U.07 | Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen | Informatie en andere gerelateerde bedrijfsmiddelen behoren inzichtelijk en overzichtelijk te zijn gedurende de gehele levenscyclus. |
| CLD_U.08 | Identiteits en toegangsmanagement | De identificatie, het toewijzen van authenticatiegegevens en het verstrekken van toegangsrechten behoren te worden beheerst door middel van beheerprocessen en passende identiteits- en toegangsbeheertechnologie. |
| CLD_U.09 | Beperking toegang tot informatie en speciale toegangsrechten | De toegang tot informatie en andere gerelateerde bedrijfsmiddelen behoort te worden beperkt overeenkomstig het vastgestelde onderwerpspecifieke beleid inzake toegangsbeveiliging, in het bijzonder daar waar het speciale toegangsrechten betreft. |
| CLD_U.10 | Gebruik van cryptografie | Regels voor het doeltreffende gebruik van cryptografie, met inbegrip van het beheer van cryptografische sleutels, behoren te worden gedefinieerd en geïmplementeerd. |
| CLD_U.11 | Logging en monitoring | Er behoren logbestanden waarin activiteiten, uitzonderingen, fouten en andere relevante gebeurtenissen worden geregistreerd, te worden geproduceerd, opgeslagen, beschermd en geanalyseerd. |
| CLD_U.12 | Toegangsbeveiliging in een multi-tenant-omgeving | Er behoren regels op basis van bedrijfs- en informatiebeveiligingseisen te worden vastgesteld en geïmplementeerd om de fysieke en logische toegang tot informatie en andere gerelateerde bedrijfsmiddelen te beheersen. |
| CLD_U.13 | Netwerksegmentatie en koppelvlakken | Clouddiensten, gebruikers en informatiesystemen behoren in de netwerken van de organisatie te worden gesegmenteerd, koppelvlakken bieden een veilige toegang tot een segment. |
| CLD_U.14 | Beschermen van registraties | Registraties behoren te worden beschermd tegen verlies, vernietiging, vervalsing, toegang door onbevoegden en ongeoorloofde vrijgave. |
| CLD_U.15 | Inzicht in de beschikbare speciale systeemhulpmiddelen | Het gebruik van systeemhulpmiddelen die in staat kunnen zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen, behoort te worden beperkt en nauwkeurig te worden gecontroleerd. |
| CLD_U.16 | Gedocumenteerde bedieningsprocedures | Bedieningsprocedures voor informatie verwerkende faciliteiten behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan het personeel dat deze nodig heeft. |
| CLD_U.17 | Bewustwording, opleiding en training | Personeel van de CSC die de dienst gebruiken behoren een passende bewustwording van en opleiding en training in het gebruik van de clouddienst voor zover relevant voor hun functie te krijgen, inclusief de onderwerp specifieke beleidsregels en procedures van de CSC organisatie in relatie tot het geldende regelmatige herijkte informatiebeveiliging en -beleid. |
| CLD_U.18 | Beheer van technische kwetsbaarheden | Er behoort informatie te worden verkregen over technische kwetsbaarheden van in gebruik zijnde informatiesystemen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden behoort te worden geëvalueerd en er behoren passende maatregelen te worden getroffen. |
| CLD_U.19 | Melden van informatiebeveiligingsgebeurtenissen | De organisatie behoort te voorzien in een mechanisme waarmee personeel waargenomen of vermoede informatiebeveiligingsgebeurtenissen tijdig via passende kanalen kan melden. |
| CLD_U.20 | Opvolging informatiebeveiligingsincidenten | De processen, rollen en verantwoordelijkheden voor het beheer van informatiebeveiligingsincidenten behoren te zijn gedefinieerd, vastgesteld en gecommuniceerd, inclusief het identificeren, verzamelen, verkrijgen en bewaren van bewijs met betrekking tot informatiebeveiligingsgebeurtenissen. |
| CLD_U.21 | Waarborgen van de bedrijfscontinuïteit | De ICT-gereedheid behoort te worden gepland, geïmplementeerd, onderhouden en getest op basis van bedrijfscontinuïteitsdoelstellingen en ICT-continuïteitseisen. |
| CLD_U.22 | Capaciteitsbeheer clouddiensten | Het gebruik van middelen behoort te worden gemonitord en aangepast overeenkomstig de huidige en verwachte capaciteitseisen. |
| CLD_U.23 | Back-up van informatie | Back-ups van informatie, software en systemen behoren te worden bewaard en regelmatig te worden getest overeenkomstig het overeengekomen onderwerpspecifieke beleid inzake back-ups. |
Control (principes)
export principes Control als csv
| ID | Principe | Criterium |
|---|---|---|
| CLD_C.01 | Registratie cloudgebruik en bijhouden risicoanalyses | De CSC houdt cloudgebruik en de risico’s daarvan bij, met het doel risicoanalyses te actualiseren. |
| CLD_C.02 | Onpartijdige beoordeling CSP | De aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en de implementatie ervan, met inbegrip van mensen, processen en technologieën, behoren onpartijdig en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen, te worden beoordeeld en opgevolgd. |
| CLD_C.03 | Beheerorganisatie CSC-CSP inzet clouddiensten | De CSC en de CSP beoordelen op effectiviteit, zodat hun beheersorganisaties blijvend op elkaar zijn ingericht waarbij de processtructuur en de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld. |
| CLD_C.04 | Controle op de afhandeling van beveiligingsgebeurtenissen | Het monitoren en het opvolgen van beveiligingsgebeurtenissen blijft op niveau of wordt verbeterd doordat de uitvoering regelmatig wordt bewaakt en hierover behoort tijdig te worden gerapporteerd aan de CSC en opgevolgd, terwijl het proces wordt beoordeeld. |
| CLD_C.05 | Controle op de afspraken uit leveranciersovereenkomst en SLA | De contractuele vereisten en SLA’s en in het bijzonder BCM, cryptografie, software, veiligheid van de koppelvlakken, de interoperabiliteit & portabiliteit worden als onderdeel van een informatiebeveiligingsprogramma periodiek geëvalueerd en gecontroleerd op verbeterpunten en het up-to-date zijn. |
Onderliggende normen
ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.
In deze tabel staan alle normen uit BIO Thema-uitwerking Clouddiensten. Van links tot rechts zie je het unieke ID van de norm, welke conformiteitsindicator van het bovenliggende principe de norm realiseert, de tekst van de norm en een link naar de aparte pagina van die norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv-export normen
en in uitgebreide tabel.
Beleid (normen)
| ID | trefwoord | Stelling | Norm |
|---|---|---|---|
| CLD_B.01.01 | onderwerpspecifieke beleidsregels | Er zijn in lijn met het Rijksbreed cloudbeleid specifieke beleidsregels die de veiligheid bij het gaan inzetten van clouddiensten waarborgt. | Informeren welke wet- en regelgeving van toepassing is op clouddiensten |
| CLD_B.01.02 | onderwerp-specifieke beleidsregels | Het informatiebeveiligingsbeleid van de CSC bevat onderwerp specifieke beleidsregels voor cloudcomputing. | Selecteren relevante wettelijke eisen ter bescherming van persoonsgegevens |
| CLD_B.01.03 | onderwerpspecifieke beleidsregels | Het informatiebeveiligingsbeleid van de CSC voor cloudcomputing is consistent met de aanvaardbare niveaus van informatiebeveiligingsrisico’s van de organisatie voor zijn informatie- en andere bedrijfsmiddelen. | Identificeren vereisten die van toepassing zijn |
| CLD_B.01.04 | gedefinieerd | Bij het definiëren van het informatiebeveiligingsbeleid voor cloudcomputing moet de CSC rekening houden met:
| Voorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereisten |
| CLD_B.01.05 | gedefinieerd | Bij het definiëren van het informatiebeveiligingsbeleid voor clouddiensten moet de CSP rekening houden met:
| Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisen |
| CLD_B.01.06 | gedefinieerd | Door de CSC zijn de basisvereisten voor het beveiligen van de verschillende applicaties vastgesteld en gedocumenteerd. | Vaststellen alle van toepassing zijnde wet- en regelgeving |
| CLD_B.01.07 | goedgekeurd | Het informatiebeveiligingsbeleid voor cloudcomputing moet zijn goedgekeurd door het voor cloudcomputing verantwoordelijke management. | Managementgoedkeuring van informatiebeveiligingsbeleid voor cloudcomputing |
| CLD_B.01.08 | goedgekeurd | Het management van de CSP heeft een informatiebeveiligingsbeleid goedgekeurd en gecommuniceerd naar interne en externe medewerkers en de CSC’s | Vaststelling en communicatie van informatiebeveiligingsbeleid door de CSP |
| CLD_B.02.01 | gedefinieerd en toegewezen | De processen van de CSC voor het aanschaffen, gebruiken, beheren en beëindigen van clouddiensten behoren overeenkomstig de informatiebeveiligingseisen van de organisatie te worden opgesteld. | Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteunt |
| CLD_B.02.02 | gedefinieerd en toegewezen | De CSC moet met de CSP overeenstemming bereiken over een passende toewijzing van rollen en verantwoordelijkheden op het gebied van informatiebeveiliging, en bevestigen dat hij de toegewezen rollen en verantwoordelijkheden kan vervullen. De rollen en verantwoordelijkheden op het gebied van informatiebeveiliging van beide partijen moeten in de leveranciersovereenkomst worden vastgelegd. | Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontext |
| CLD_B.02.03 | gedefinieerd en toegewezen | De CSP moet een passende toewijzing van rollen en verantwoordelijkheden op het gebied van informatiebeveiliging overeenkomen en documenteren met zijn CSC's, CSP's en leveranciers. | Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelen |
| CLD_B.02.04 | behoeften | De CSC moet zijn relatie met de ondersteunings- en zorgfunctie van de CSP identificeren en beheren. | Beheer van de relatie tussen CSC en ondersteuningsfuncties van de CSP |
| CLD_B.02.05 | privacyvereisten | Bij de toewijzing van rollen en verantwoordelijkheden moet rekening worden gehouden met de CSC-gegevens en de CSC-aanvragen, waarbij de CSP de verwerker is. | Rollen en verantwoordelijkheden bij verwerking van CSC-gegevens en -aanvragen door de CSP |
| CLD_B.03.01 | relevante instanties | De CSP moet de CSC informeren over de geografische locaties van de organisatie van de CSP en de landen waar de CSP de CSC-gegevens kan opslaan. Bij het bepalen van de geografische locaties wordt ook gekeken naar alle plaatsen waar (vandaan) verwerking, inclusief (technische) beheeractiviteiten, plaatsvinden. | Vastleggen bepalingen over exit-regeling |
| CLD_B.03.02 | relevante instanties | De CSC moet de autoriteiten identificeren die relevant zijn voor de gecombineerde werking van de CSC en de CSP. | Overgaan tot exit buiten verstrijken contractperiode |
| CLD_B.03.03 | wettelijke, statutaire, regelgeven-de en contractuele eisen | De CSC houdt, naast de wet- en regelgeving die voor de CSC geldt (zie ook B.04), rekening met de voor de CSP geldende wet- en regelgeving. | Afstemming van wet- en regelgeving tussen CSC en CSP |
| CLD_B.03.04 | wettelijke, statutaire, regelgeven-de en contractuele eisen | De CSP moet de CSC informeren over de jurisdicties die van toepassing zijn op de clouddienst. | Transparantie over toepasselijke jurisdicties bij clouddiensten |
| CLD_B.03.05 | wettelijke, statutaire, regelgeven-de en contractuele eisen | De CSP moet zijn eigen relevante wettelijke vereisten identificeren (bijvoorbeeld met betrekking tot encryptie). Deze informatie moet ook aan de CSC worden verstrekt wanneer daarom wordt gevraagd. | Identificatie en verstrekking van wettelijke vereisten door de CSP |
| CLD_B.03.06 | te voldoen | De CSC moet bewijs vragen van de naleving door de CSP van de relevante regelgeving en normen die vereist zijn voor de activiteiten van de CSC. Dergelijk bewijs kunnen de certificeringen zijn die door externe auditors zijn geproduceerd. | Verificatie van naleving door de CSP via bewijs en certificeringen |
| CLD_B.03.07 | te voldoen | De CSP moet de CSC voorzien van bewijs van zijn huidige naleving van de toepasselijke wetgeving en contractuele vereisten. | Aantoonbare naleving van wetgeving en contractuele verplichtingen door de CSP |
| CLD_B.03.08 | te voldoen | De CSC dient te verifiëren dat de set cryptografische controles die van toepassing zijn op het gebruik van een clouddienst voldoet aan relevante afspraken, wet- en regelgeving. | Toetsing van cryptografische maatregelen aan wet- en regelgeving |
| CLD_B.03.09 | te voldoen | De CSP moet beschrijvingen verstrekken van de door de CSP geïmplementeerde cryptografische controles aan de CSC voor het beoordelen van de naleving van toepasselijke overeenkomsten, wet- en regelgeving. | Inzicht in cryptografische controles ter beoordeling van compliance |
| CLD_B.04.01 | wet- en regelgeving | De CSC voldoet aan de wet en regelgeving:
a. de eisen uit het Voorschrift Informatiebeveiliging Rijksdienst (VIR) ; b. het voorschrift Informatiebeveiliging Rijksdienst – Bijzondere Informatie (VIRBI) ; c. de BIO , de regels omtrent archiveren ; d. de AVG ; e. de Wet Open Overheid (WOO) ; f. de Wet Politiegegevens (WPG) . | Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid |
| CLD_B.04.02 | buiten de grenzen | Landen met een actief cyberprogramma dat gericht is tegen Nederlandse belangen worden uitgesloten van het kunnen aanbieden van een clouddienst. Mocht er een risico zijn op dreiging van statelijke actoren, wordt voortijdig dreigings- en beveiligingsadvies ingewonnen van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en/of Militaire Inlichtingen- en Veiligheidsdienst (MIVD). Voor de overige landen sluiten aan bij het Europese beleid op dit terrein dat waarborgen biedt tegen misbruik van de informatie die in een cloud is opgeslagen. | Beleid voor landselectie en geopolitieke risico’s bij cloudgebruik |
| CLD_B.04.03 | buiten de grenzen | De opslag en verwerking van persoonsgegevens voldoet aan de vereisten inzake doorgiften van persoonsgegevens (hoofdstuk V van de AVG), en daarbij wordt voldaan aan één van de onderstaande eisen:
Indien niet aantoonbaar aan één van die eisen (a, b of c) is voldaan, dan wordt voor die verwerking en alle daarbij behorende subverwerkingen de uitgevoerde (pre-scan of formele) Data Protectie Impact Assessment (DPIA) zo spoedig mogelijk na vaststelling aan CIO Rijk toegezonden. De opslag en verwerking van bijzondere persoonsgegevens voldoet aan eisen a. of b. Als aan c. wordt voldaan geldt aanvullend de eis ‘pas-toe-of-leg-uit’ (comply or explain), met minimaal een uitgevoerde (pre-scan of formele) DPIA, die zo spoedig mogelijk na vaststelling aan CIO Rijk wordt toegezonden. | AVG-conforme doorgifte en verwerking van persoonsgegevens in de cloud |
| CLD_B.04.04 | buiten de grenzen | De CSC kan de locaties (locatie/land) van de gegevensverwerking en -opslag, inclusief gegevensback-ups, specificeren volgens de contractueel beschikbare opties. De CSP ondersteunt de keuze tot specificatie door middel van een cloudarchitectuur. De vastlegging van de architectuur is gebaseerd op de behoeften van materiedeskundigen van de CSC, zodat de CSC de geschiktheid van de clouddienst kan beoordelen met betrekking tot de wettelijke en regelgevende vereisten. | Beheer en specificatie van datalocaties binnen cloudarchitecturen |
| CLD_B.05.01 | Vooraf | Er behoren informatiebeveiligingseisen te worden vastgesteld voor alle bedrijfsprocessen die gebruik gaan maken van de clouddienst(en). | Bevatten diverse aspecten in systeembeschrijving |
| CLD_B.05.02 | Risicoanalyse | Bij het selecteren van een CSC wordt rekening gehouden met:
| SLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatie |
| CLD_B.05.03 | Risicoanalyse | Tijdens de risicoanalyse is het Strategisch Leveranciersmanagement voor de Rijksoverheid (SLM) geraadpleegd. | SLA/systeembeschrijving bevat specificatie voor publicatie-vereisten en onderzoeksmogelijkheden |
| CLD_B.05.04 | DPIA | Er is een DPIA (gegevensbeschermingseffectbeoordeling), inclusief een relevante risicoafweging op basis van de CIO Rijk implementatierichtlijn, waarbij de besluitvorming toetsbaar en auditeerbaar is. | SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificaten |
| CLD_B.05.05 | DPIA | De CSC beschrijft in de toegespitste risicoanalyse ten minste de volgende onderdelen: 1. De context van het cloudgebruik en de karakteristieken van het betreffende cloudgebruik zoals:
2. De relevante risico’s waarbij aandacht is voor:
3. De analyse van de getroffen technische en organisatorische maatregelen waaruit blijkt dat CSC en de CSP voldoen aan de gestelde informatiebeveiligingseisen. Hierbij is aandacht voor:
| Integrale risicoanalyse en beheersmaatregelen voor cloudgebruik binnen de CSC |
| CLD_B.05.06 | DPIA | De risicoanalyse is formeel vastgesteld conform een mandateringsregeling. | Formele vaststelling van de risicoanalyse conform mandaatregeling |
| CLD_B.05.07 | DPIA | Risico’s moeten bekend en voldoende gemitigeerd zijn en blijven. | Borging en continue mitigatie van geïdentificeerde risico’s |
| CLD_B.06.01 | (pre-scan of formele) DPIA | Indien er persoonsgegevens verwerkt gaan worden, dient voorafgaand aan feitelijke verwerking een pre-scan DPIA uitgevoerd te worden en voor hoog-risico verwerkingen een formele DPIA. De DPIA is formeel vastgesteld zijn, conform een mandateringsregeling. | Hebben CSP-verantwoordelijkheden |
| CLD_B.06.02 | (pre-scan of formele) DPIA | In een pre-scan DPIA moeten ten minste de volgende onderdelen herkenbaar zijn :
| Goedkeuren organisatie van risicomanagementproces |
| CLD_B.06.03 | openbaar | Indien geen formele DPIA nodig is, moet op een andere wijze aantoonbaar worden voldaan aan de AVG, waaronder een onderbouwing van de rechtmatigheid, proportionaliteit, noodzaak (subsidiariteit) e.d. | Beschrijven risicomanagementproces |
| CLD_B.06.04 | Basisregistratie | Bij de opslag en verwerking van een basisregistratie in de public cloud geeft CIO Rijk hieraan voorafgaand een advies, waarbij het advies wordt gegeven op basis van minimaal:
| Voorafgaand CIO Rijk-advies bij cloudgebruik voor basisregistraties |
| CLD_B.07.01 | verzameld en geanalyseerd | De CSP en de CSC verzamelen en analyseren informatie die beschikbaar is in geselecteerde interne en externe bronnen over bestaande of opkomende dreigingen teneinde weloverwogen maatregelen mogelijk te maken om te voorkomen dat de dreigingen schade aan de betrokken organisatie toebrengen. | Treffen maatregelen voor beveiliging IT-functionaliteiten |
| CLD_B.07.02 | verzameld en geanalyseerd | De CSP en de CSC informeren iedereen van de organisaties en elkaar, waarbij de bedreiging impact kan hebben op de hele organisatie, nauwkeurig en gedetailleerd, zodat de partijen snel en doeltreffend kunnen handelen op basis van de informatie. | Treffen technische beveiligingsmaatregelen tegen bescherming van infrastructuur |
| CLD_B.07.03 | verzameld en geanalyseerd | De toepaste risicomanagementaanpak:
| Bewaken en beheersen IT-infrastructuur |
| CLD_B.07.04 | voorafgaand aan het inzetten | De CSC moet zijn informatiebeveiligingseisen voor de clouddienst bepalen en vervolgens beoordelen of de door een CSP aangeboden diensten aan deze eisen kunnen voldoen. | Inrichten infrastructuur met betrouwbare hardware- en software-componenten |
| CLD_B.07.05 | voorafgaand aan het inzetten | Voor deze analyse moet de CSC informatie over de informatiebeveiligingscapaciteiten opvragen bij de CSP. | Hebben van gedocumenteerde standaarden en procedures om hoofd te bieden tegen cyberaanvallen |
| CLD_B.07.06 | voorafgaand aan het inzetten | De CSP moet informatie verstrekken aan de CSC’s over de informatiebeveiligingsmogelijkheden die zij gebruiken. Deze informatie moet informatief zijn, zonder informatie vrij te geven die nuttig kan zijn voor iemand met kwade bedoelingen. | Gebalanceerde informatieverstrekking over beveiligingsmaatregelen door de CSP |
| CLD_B.07.07 | voorafgaand aan het inzetten | De CSP biedt CSC’s richtlijnen en aanbevelingen voor het veilig gebruik van de aangeboden clouddienst. De daarin opgenomen informatie is bedoeld om de CSC te helpen bij het veilig configureren, installeren en gebruiken van de clouddienst, voor zover van toepassing op de clouddienst en onder de verantwoordelijkheid van de cloudgebruiker. Het type en de reikwijdte van de verstrekte informatie is gebaseerd op de behoeften van materiedeskundigen van de CSC die informatiebeveiligingseisen stellen, deze implementeren of de implementatie verifiëren. | Richtlijnen en ondersteuning door de CSP voor veilig gebruik van clouddiensten |
| CLD_B.08.01 | Verantwoordelijkheid voor BCM | De Cloud Service Provider (CSP) heeft een proceseigenaar voor het Bedrijfscontinuïteitsmanagement (BCM)-proces benoemd en hem verantwoordelijk gegeven voor het vormgeven van BCM en compliancy met het uitgestippeld beleid. | Benoemen proceseigenaar voor BCM-proces en geven verantwoordelijkheden |
| CLD_B.08.02 | Verantwoordelijkheid voor BCM | De verantwoordelijke voor bedrijfscontinuïteitsmanagement (BCM) stelt zeker dat adequate resources beschikbaar zijn voor het uitvoeren van een effectief BCM-proces. | Zeker stellen adequate resources voor uitvoeren van BCM-proces |
| CLD_B.08.03 | Verantwoordelijkheid voor BCM | Het management van de Cloud Service Provider (CSP) committeert zich aan de vastgestelde bedrijfscontinuïteitsmanagement (BCM)-vereisten. | Committeren aan vastgestelde BCM-vereisten |
| CLD_B.08.04 | Verantwoordelijkheid voor BCM | Het bedrijfscontinuïteitsmanagement (BCM)-beleid en beleid voor business impact analyses zijn vastgesteld en gecommuniceerd. | Vaststellen en communiceren BCM- en BIA-beleid |
| CLD_B.08.05 | Beleid en procedures | Het beleid en de procedures voor het vaststellen van de impact van storingen van cloud-services zijn gedocumenteerd en gecommuniceerd, waarbij aandacht wordt besteed aan:
| Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservices |
| CLD_B.08.06 | Bedrijfscontinuïteitsplanning | De Cloud Service Provider (CSP) beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit waarin onder andere aandacht wordt besteed aan:
| Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteit |
| CLD_B.08.07 | Verificatie en updaten | Business impact analyses en continuïteitsplannen worden geverifieerd, geactualiseerd en regelmatig getest. | Verifiëren, actualiseren en testen business impact analyses en continuïteitsplannen |
| CLD_B.08.08 | Verificatie en updaten | Bij het testen wordt aandacht besteed aan de beïnvloeding van Cloud Service Consumers (CSC’s) (tenants) en derde partijen. | Besteden aandacht aan beïnvloeden van CSC’s (tenants) en derde partijen bij testen |
| CLD_B.08.09 | Computercentra | De voorzieningen van de computercentra zijn veilig gesteld en worden gemonitord (bewaakt), onderhouden en regelmatig getest. | Veiligstellen, monitoren, onderhouden en testen computercentra-voorzieningen |
| CLD_B.09.01 | Beveiligingsaspecten en stadia | Voor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen. | Treffen maatregelen voor opslag, verwerking en transport van data |
| CLD_B.09.02 | Toegang en privacy | Ter bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, Data Privacy Impact Assessment (DPIA), sterke toegangsbeveiliging en encryptie. | Treffen maatregelen zoals data-analyse, DPIA, sterke toegangsbeveiliging en encryptie |
| CLD_B.09.03 | Classificatie/labelen | Aan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op het datatype, de waarde, de gevoeligheid en het kritische gehalte voor de organisatie. | Toekennen classificatie aan data en middelen waarin/waarop zich data bevindt |
| CLD_B.09.04 | Classificatie/labelen | Data gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data. | Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerken |
| CLD_B.09.05 | Classificatie/labelen | De Cloud Service Provider (CSP) past een uniforme classificatie toe voor informatie en middelen die relevant is voor de ontwikkeling en het aanbieden van clouddiensten. | Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddiensten |
| CLD_B.09.06 | Eigenaarschap | Het eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld. | Vaststellen eigenaarschap van middelen die deel uitmaken van clouddiensten |
| CLD_B.09.07 | Eigenaarschap | In de overeenkomst tussen de Cloud Service Provider (CSP) en de Cloud Service Consumer (CSC) is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten. | Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienst |
| CLD_B.09.08 | Locatie | De Cloud Service Provider (CSP) specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen. | Specificeren en documenteren opslag op welke locatie data |
| CLD_B.10.01 | Beveiligingsfunctie | De beveiligingsfunctie, die geleid wordt door een Chief Security Officer (CSO), ondersteunt de Cloud Service Provider (CSP) voor het bewerkstelligen en promoten van het cloud-beveiligingsbeleid door het:
| Bewerkstelligen en promoten cloudbeveiligingsbeleid |
| CLD_B.10.02 | Beveiligingsfunctie | De beveiligingsfunctie voorziet in proactieve ondersteuning van:
| Voorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelen |
| CLD_B.10.03 | Organisatorische positie | De Cloud Service Provider (CSP) heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegeven. | Geven positie van informatiebeveiligingsorganisatie binnen organisatie |
| CLD_B.10.04 | Taken, verantwoordelijkheden en bevoegdheden | De Cloud Service Provider (CSP) heeft de verantwoordelijkheden bij informatiebeveiliging voor het definiëren, coördineren en evalueren beschreven en toegewezen aan specifieke functionarissen. | Benoemen functionarissen voor informatiebeveiliging en onderlinge relaties inzichtelijk maken |
| CLD_B.10.05 | Taken, verantwoordelijkheden en bevoegdheden | De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix. | Toewijzen verantwoordelijkheden voor definiëren, coördineren en evalueren van informatiebeveiliging |
| CLD_B.10.06 | Functionarissen | De belangrijkste functionarissen (stakeholders) voor informatiebeveiliging zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt. | Vastleggen taken, verantwoordelijkheden en bevoegdheden in autorisatiematrix |
| CLD_B.10.07 | Rapportagelijnen | De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld. | Vaststellen verantwoordings- en rapportagelijnen tussen betrokken functionarissen |
| CLD_B.10.08 | Rapportagelijnen | Het type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld. | Vaststellen type, frequentie en eisen voor inhoudelijke rapportages |
| CLD_B.11.01 | Raamwerk | Het raamwerk bevat de volgende aspecten:
| Bevatten diverse aspecten voor raamwerk |
| CLD_B.11.02 | Samenhang en afhankelijkheden | De onderlinge samenhang tussen IT-functionaliteiten die bij het aanbieden, gebruiken en onderhouden van clouddiensten zijn betrokken, benoemd en beschreven. | Beschrijven van de samenhang tussen IT-functionaliteiten bij clouddienst-aanbieding, -gebruik en -onderhoud |
Uitvoering (normen)
export normen Uitvoering als csv
| ID | trefwoord | Stelling | Norm |
|---|---|---|---|
| CLD_U.01.01 | Overeengekomen | De CSC moet de rollen en verantwoordelijkheden op het gebied van de dienstverlening waaronder informatiebeveiliging met betrekking tot de clouddienst bevestigen, zoals beschreven in de serviceovereenkomst. Deze kunnen de volgende processen omvatten:
| Maken transparante dienstverlening |
| CLD_U.01.02 | Overeengekomen | De serviceovereenkomst tussen de CSC en de CSP bevat in ieder geval de volgende bepalingen en/of voorwaarden:
| Treffen beveiligingsmaatregelen op basis van internationale standaarden |
| CLD_U.01.03 | Overeengekomen | De CSP moet als onderdeel van een overeenkomst de relevante informatiebeveiligingsmaatregelen specificeren die de CSP zal implementeren om misverstanden tussen de CSP en de CSC te voorkomen. | Contractuele vastlegging van informatiebeveiligingsmaatregelen door de CSP |
| CLD_U.01.04 | Overeengekomen | De relevante informatiebeveiligingsmaatregelen die de CSP zal implementeren, kunnen variëren afhankelijk van het type clouddienst dat de CSC gebruikt. | Leveranciersovereenkomsten |
| CLD_U.01.05 | Toeleveringsprocessen | Als een CSP clouddiensten van collega-CSP’s gebruikt, moet de CSP ervoor zorgen dat de informatiebeveiligingsniveaus voor zijn eigen CSC’s worden gehandhaafd of overschreden. | Borging van informatiebeveiliging bij inzet van sub-CSP’s |
| CLD_U.01.06 | Toeleveringsprocessen | Wanneer de CSP clouddiensten levert op basis van een toeleveringsketen, moet de CSP informatiebeveiligingsdoelstellingen aan leveranciers verstrekken en elk van de leveranciers verzoeken risicobeheeractiviteiten uit te voeren om de doelstellingen te bereiken en geeft de CSC gedetailleerde informatie over het toepassen van de informatiebeveiligingsdoelstellingen en het periodiek uitvoeren van beveiligingsbeoordelingen in de hele toeleveringsketen. | Beheer van informatiebeveiliging binnen de toeleveringsketen |
| CLD_U.01.07 | Toeleveringsprocessen | De CSP geeft de CSC duidelijkheid over hoe derde partijen wier diensten bijdragen aan het aanbieden van de clouddienst, met daarin:
Met daarbij de:
| Transparantie en beheersing van risico’s bij inzet van derde partijen |
| CLD_U.02.01 | exitstrategie | Een exitstrategie borgt de continuïteit van bedrijfsprocessen en het opruimen van data bij beëindiging van de dienstverlening. De borging gaat zowel via maatregelen voor de eigen organisatie, waaronder budget, als via contractuele afspraken met de leverancier. Onderdelen in de exitstrategie zijn:
| Op waarde schatten en beschrijven van risico’s rond middelen vallend binnen clouddienstenscope |
| CLD_U.02.02 | exitstrategie | Er is een exitstrategie opgenomen in de overeenkomst met de CSP. Hierin staat hoe, bij beëindiging van de overeenkomst, data worden overgedragen en hoe wordt geregeld dat de verzameling data bij de leverancier vernietigd wordt. | Evalueren risico’s op basis van risico-acceptatiecriteria |
| CLD_U.02.03 | exitstrategie | In de overeenkomst met de CSP wordt met betrekking tot de exitstrategie de volgende aspecten vastgelegd, voor zover deze van toepassing zijn op de clouddienst:
| Contractuele borging van exitstrategie en gegevensoverdracht |
| CLD_U.02.04 | retourneren | De CSP behoort alle bedrijfsmiddelen van de CSC die ze in hun bezit hebben bij beëindiging van hun dienstverband, contract of overeenkomst te retourneren. | Retournering van CSC-bedrijfsmiddelen bij beëindiging |
| CLD_U.02.05 | verplaatsen | De CSP hanteert voor het verhuis- of overdrachtsverzoek van bedrijfsmiddelen van de CSC, een schriftelijke of cryptografisch verifieerbare autorisatie. | Geautoriseerde overdracht van CSC-bedrijfsmiddelen |
| CLD_U.02.06 | verplaatsen | De CSP moet informatie verstrekken over de regelingen voor de tijdige teruggave en verwijdering van eventuele bedrijfsmiddelen van CSC bij beëindiging van de overeenkomst. De beschrijving moet alle bedrijfsmiddelen vermelden en het schema voor de beëindiging van de overeenkomst documenteren. | Transparantie over teruggave en verwijdering van bedrijfsmiddelen |
| CLD_U.02.07 | verplaatsen | De regelingen voor het retourneren en verwijderen van bedrijfsmiddelen moeten in de overeenkomst worden gedocumenteerd en moeten tijdig worden uitgevoerd. In de regelingen moet worden gespecificeerd welke bedrijfsmiddelen moeten worden teruggegeven en verwijderd. | Contractuele vastlegging van retournering en verwijdering van bedrijfsmiddelen |
| CLD_U.02.08 | verplaatsen | De CSC moet bevestiging vragen dat de CSP beschikt over het beleid en de procedures voor het veilig verwijderen of hergebruiken van hulpbronnen. | Verificatie van beleid voor veilige verwijdering van hulpbronnen |
| CLD_U.02.09 | verwijderen | De CSP moet ervoor zorgen dat er tijdig regelingen worden getroffen voor de veilige verwijdering of hergebruik van hulpbronnen (bijvoorbeeld apparatuur, gegevensopslag, bestanden, geheugen). | Tijdige en veilige verwijdering of hergebruik van hulpbronnen |
| CLD_U.02.10 | verwijderen | De CSP moet waarborgen dat gevoelige gegevens en gelicentieerde software zijn verwijderd of veilig zijn overschreven voordat de opslagruimte wordt verwijderd of hergebruikt. De verwijdering omvat gegevens van en over de CSC, inclusief metadata en gegevens die zijn opgeslagen in de back-ups van gegevens. Hiertoe worden door de industrie geaccepteerde methoden toegepast. De verwijdering voorkomt herstel met forensische middelen. | Veilige en onherstelbare verwijdering van gevoelige gegevens |
| CLD_U.02.11 | Voorzieningen | De overeenkomst tussen CSC en CSP bevat bepalingen die de toegang van de CSC tot gegevens specificeert bij beëindiging van het contract, met daarin:
| Toegang tot en beheer van gegevens bij contractbeëindiging |
| CLD_U.02.12 | Voorzieningen | Om interoperabiliteit en portabiliteit mogelijk te maken, biedt de CSP applicatie-interface(s) aan, zodat CSC hun gegevens geautomatiseerd kan verplaatsen of verwijderen en biedt hiervoor cryptografisch veilige en gestandaardiseerde netwerkprotocollen. | Ondersteuning van dataportabiliteit en interoperabiliteit via veilige API’s |
| CLD_U.02.12 | Voorzieningen | Om interoperabiliteit en portabiliteit mogelijk te maken, biedt de CSP applicatie-interface(s) aan, zodat CSC hun gegevens geautomatiseerd kan verplaatsen of verwijderen en biedt hiervoor cryptografisch veilige en gestandaardiseerde netwerkprotocollen. | Ondersteuning van dataportabiliteit en interoperabiliteit door de CSP |
| CLD_U.03.01 | vastgesteld | Door de CSC en de CSP worden de basisvereisten voor het beveiligen van applicaties toegepast en up-to-date gehouden. | Waarborgen continuïteit door voldoende logische of fysieke meervoudig uitgevoerde systeemfuncties |
| CLD_U.03.02 | vastgesteld | De CSC vraagt bij de CSP informatie op over de door de CSP gebruikte informatiebeveiligingsmaatregelen binnen de ontwikkelingscyclus, ook wanneer (een deel van) de ontwikkeling bij een toeleverancier plaatsvindt. Deze informatie moet informatief zijn, zonder informatie vrij te geven die nuttig kan zijn voor iemand met kwade bedoelingen. | Waarborgen van continuïteitseisen door specifieke in systeemarchitectuur beschreven maatregelen |
| CLD_U.03.03 | toegpast | De CSP waarborgt dat nieuwe informatiesystemen/software, upgrades en nieuwe versies veilig zijn door deze te testen op de vereisten voor het beveiligen van applicaties en ze tijdig te implementeren. De CSP doet dit door daar waar mogelijk te voldoen aan de principes van continuous delivery. | Veilige ontwikkeling en implementatie van software binnen de clouddienst |
| CLD_U.03.04 | toegpast | De CSP voorziet de componenten/software binnen de clouddienst van malwarebescherming. Als er beveiligingsprogramma’s zijn opgezet met handtekening en gedrag gebaseerde detectie en verwijdering van malware, worden deze beveiligingsprogramma’s minimaal dagelijks bijgewerkt. | Malwarebescherming en actuele beveiligingsmaatregelen binnen de clouddienst |
| CLD_U.04.01 | Procedures | De CSP houdt in het wijzigingsbeheerproces rekening met het bestaan van wijzigingen die een negatief effect kunnen hebben op de CSC. | Herstellen data en clouddiensten bij calamiteiten en beschikbaar stellen |
| CLD_U.04.02 | op de hoogte | De CSP verstrekt de CSC informatie over wijzigingen aan de clouddienst die een negatief effect kunnen hebben op de clouddienst. Het volgende helpt de CSC bij het bepalen welk effect de wijzigingen kunnen hebben op de informatiebeveiliging:
| Monitoren proces van herstelbaar beveiligen van data |
| CLD_U.04.03 | op de hoogte | Wanneer een CSP een clouddienst aanbiedt die afhankelijk is van een keten-CSP, kan het nodig zijn dat de CSP de CSC op de hoogte stelt van wijzigingen die door de keten-CSP worden veroorzaakt. | Testen functioneren van herstelfuncties en resultaten daarvan delen |
| CLD_U.05.01 | Procedures | De CSC moet beschikken over een procedure voor het identificeren van cloudspecifieke licentievereisten voordat wordt toegestaan dat gelicentieerde software in een clouddienst wordt geïnstalleerd. | ‘State of the art’ beveiligen gegevenstransport met cryptografie, met zelf uitgevoerd sleutelbeheer |
| CLD_U.05.02 | Procedures | De CSP informeert de CSC over het clouddienstspecifieke deploymentmodel, zodat duidelijk is wat de impact van de elasticiteit en schaalbaarheid is, waarbij de software op meer systemen of processorkernen kan gaan draaien dan is toegestaan door de licentievoorwaarden. | ‘State of the art’ binnen clouddienst opgeslagen gegevens beveiligen met encryptie |
| CLD_U.05.03 | beschermen | De CSP moet een proces opzetten voor het reageren op klachten over intellectuele eigendomsrechten. | Afhandeling van klachten over intellectuele eigendomsrechten door de CSP |
| CLD_U.06.01 | gesynchroniseerd | De CSC moet informatie opvragen over de kloksynchronisatie die wordt gebruikt voor de systemen van de CSP. | Vastleggen gegarandeerde overeengekomen opslagduur en voldoen aan Archiefwet |
| CLD_U.06.02 | gesynchroniseerd | De CSP moet informatie verstrekken aan de CSC over de klok die wordt gebruikt door de systemen van de CSP, en informatie over hoe de CSC lokale klokken kan synchroniseren met de klok van de clouddienst. | Raadplegen gegevens, onafhankelijk van technologie gedurende bewaartermijn |
| CLD_U.07.01 | inzichtelijk | De inventaris van de bedrijfsmiddelen, inclusief de informatie van de CSC, moet rekening houden met hetgeen is opgeslagen in de cloudcomputing-omgeving. | Permanente isolatie van gegevens binnen een multi-tenant architectuur |
| CLD_U.07.02 | inzichtelijk | De registraties van de inventaris moeten aangeven waar de bedrijfsmiddelen, inclusief de informatie van de CSC, worden bewaard, bijvoorbeeld door de identificatie van de clouddienst. | Garanderen isolatie van CSC-gegevens door logische scheiding van andere CSC’s-data |
| CLD_U.07.03 | inzichtelijk | De inventaris van bedrijfsmiddelen van de CSP moet expliciet het volgende identificeren:
| Verlenen bevoegdheden voor inzien of wijzigen en/of encryptiesleutels plus loggen rechtengebruik |
| CLD_U.07.04 | inzichtelijk | De classificatie en labeling weerspiegelt de beschermingsbehoeften van de informatie die het verwerkt, opslaat of verzendt. | Classificatie en labeling afgestemd op beschermingsbehoeften van informatie |
| CLD_U.07.05 | inzichtelijk | De classificatie wordt volgens een uniform schema bepaald. Het schema biedt beschermingsniveaus voor de doelstellingen voor de bescherming van vertrouwelijkheid, integriteit, beschikbaarheid en authenticiteit. | Uniform classificatieschema voor informatiebeveiliging |
| CLD_U.07.06 | inzichtelijk | De leveranciersovereenkomst beschrijft de mapping tussen de classificaties van de CSP en de CSC, zodat de CSC kan nagaan of de genomen maatregelen de beschermingsbehoeften van de CSC weerspiegelt. | Afstemming van classificaties tussen CSP en CSC |
| CLD_U.07.07 | inzichtelijk | De CSP registreert bedrijfsmiddelen met de informatie die nodig is voor het kunnen beheren van informatiebeveiligingsrisico’s, inclusief de maatregelen die zijn genomen om deze risico’s gedurende de gehele levenscyclus te beheersen. Wijzigingen in deze informatie worden geregistreerd. | Registratie en beheer van bedrijfsmiddelen en beveiligingsmaatregelen |
| CLD_U.07.08 | overzichtelijk | De CSC labelt informatie en bijbehorende bedrijfsmiddelen die in de cloudcomputing-omgeving worden bewaard. Dit in overeenstemming met de door de CSC vastgestelde procedures voor labeling, zodat labeling het automatiseren van het beheer van de informatieverwerking mogelijk maakt. | Labeling van informatie door de CSC binnen de cloudomgeving |
| CLD_U.07.09 | overzichtelijk | De CSP documenteert alle servicefunctionaliteiten en maakt deze openbaar, zodat de CSC’s hun informatie en bijbehorende bedrijfsmiddelen kunnen classificeren en labelen. | Transparantie van servicefunctionaliteiten ter ondersteuning van classificatie en labeling |
| CLD_U.08.01 | identificatie | Om de toegang tot clouddiensten door gebruikers van clouddiensten van een CSC te beheren, moet de CSP gebruikersregistratie- en uitschrijvingsfuncties en specificaties voor het gebruik van deze functies aan de CSC verstrekken. | Realiseren diverse scheidingen van clouddienstverlening |
| CLD_U.08.02 | authenticatie | De CSC moet verifiëren dat de beheersprocedure van de CSP voor het toekennen van geheime authenticatie-informatie, zoals wachtwoorden, voldoet aan de eisen van de CSC. | Verificatie van beheerprocedures voor geheime authenticatie-informatie |
| CLD_U.08.03 | authenticatie | De CSP moet informatie verstrekken over procedures voor het beheer van de geheime authenticatie-informatie van de CSC, inclusief de procedures voor het toewijzen van dergelijke informatie en voor gebruikersauthenticatie. | Transparantie over beheer van authenticatie-informatie en gebruikersauthenticatie |
| CLD_U.08.04 | Toegangsrechten | De CSP moet functies bieden voor het beheer van de toegangsrechten van de gebruikers van de clouddiensten van de CSC, en specificaties voor het gebruik van deze functies. | Beheer van toegangsrechten binnen clouddiensten |
| CLD_U.08.05 | identiteits en toegangsbeheertechnologie | De CSC geeft duidelijkheid over een al dan niet vereiste integratie en in gebruik zijnde, dan wel geplande, voorziening voor identiteits- en toegangsbeheertechnologie. | Afstemming over inzet van identiteits- en toegangsbeheer door de CSC |
| CLD_U.08.06 | identiteits en toegangsbeheertechnologie | Wanneer de CSC al een voorziening voor identiteits- en toegangsbeheertechnologie, al dan niet bij een andere CSP, inzet, moet de CSP voor zijn clouddiensten en de bijbehorende beheerinterfaces een eenvoudige integratie en eenvoudig beheer van de gebruikersidentiteiten tussen de systemen van de CSC en de clouddienst mogelijk maken en zodoende het gebruik van meerdere clouddiensten voor de CSC te vergemakkelijken, inclusief SSO. | Integratie en interoperabiliteit van identiteits- en toegangsbeheer (incl. SSO) |
| CLD_U.09.01 | beperkt | De CSC zorgt ervoor dat de toegang tot informatie in de clouddienst wordt beperkt in overeenstemming met zijn toegangscontrolebeleid en dat dergelijke beperkingen worden gerealiseerd. Dit omvat het beperken van de toegang tot clouddiensten, clouddienstfuncties en CSC-gegevens die in de service worden bewaard. | Specificeren welke maatregelen op welke positie in informatieketen moeten worden genomen |
| CLD_U.09.02 | beperkt | De CSP moet toegangscontroles bieden waarmee de CSC de toegang tot zijn clouddiensten, zijn clouddienstfuncties en de CSC-gegevens die in de dienst worden bewaard, kan beperken. | Uitrusten voor ontwikkeling en exploitatie van clouddiensten gebruikte IT-systemen en netwerkperimeter |
| CLD_U.09.03 | beperkt | De CSP zorgt ervoor dat het rol-gebaseerd uitgeven van toegangsrechten mogelijk is, zodat functiescheiding plaatsvindt, inclusief de scheiding tussen operationele en toezichthoudende functies. | Uitvoeren malware-bescherming op verschillende omgevingen en bij toegang tot netwerk van organisatie |
| CLD_U.09.04 | beperkt | De CSP zorgt ervoor dat het verlenen en wijzigen van gebruikersaccounts en toegangsrechten op basis van het least privilege-principe mogelijk is, zodat gebruikers precies genoeg toegangsrechten krijgen om hun werk te doen. | Toegangsbeheer op basis van het least privilege-principe |
| CLD_U.09.05 | beperkt | De CSP informeert de CSC, wanneer interne of externe medewerkers van de CSP de gegevens van de CSC lezen of schrijven die in de clouddienst zijn verwerkt, opgeslagen of verzonden of er toegang toe hebben gehad zonder voorafgaande toestemming van de CSC. De informatie wordt verstrekt telkens wanneer de gegevens van de CSC niet zijn gecodeerd, de encryptie is/was uitgeschakeld voor toegang of de contractuele overeenkomsten dergelijke informatie niet expliciet uitsluiten. De informatie bevat de oorzaak, het tijdstip, de duur, het type en de omvang van de toegang. De informatie is voldoende gedetailleerd om materiedeskundigen van de CSC in staat te stellen de risico's van de toegang te beoordelen. De informatie wordt verstrekt conform de contractuele afspraken, dan wel binnen 72 uur na toegang. | Meldplicht en transparantie bij ongeautoriseerde toegang tot CSC-gegevens |
| CLD_U.09.06 | speciale toegangsrechten | De CSC gebruikt voldoende authenticatietechnieken (bijvoorbeeld meervoudige authenticatie) om de beheerders van clouddiensten van de CSC te authenticeren voor de administratieve mogelijkheden van een clouddienst in overeenstemming met de geïdentificeerde risico’s. | Sterke authenticatie voor beheerders door de CSC |
| CLD_U.09.07 | speciale toegangsrechten | De CSP gebruikt afdoende authenticatietechnieken, zoals tweefactor- of multifactorauthenticatie, om de beheerders van clouddiensten van de CSC te authenticeren voor de voorzieningen voor het beheer van een clouddienst in overeenstemming met de geïdentificeerde risico’s. | Sterke authenticatie voor beheeractiviteiten door de CSP |
| CLD_U.09.08 | speciale toegangsrechten | Speciale toegangsrechten zijn gepersonaliseerd, beperkt in de tijd op basis van een risicobeoordeling en toegewezen indien nodig voor de uitvoering van taken (need-to-know-principe). | Toekenning van speciale toegangsrechten volgens need-to-know en risicobeoordeling |
| CLD_U.09.09 | speciale toegangsrechten | Het gebruik van speciale toegangsrechten wordt gelogd om eventueel misbruik van bevoorrechte toegang in verdachte gevallen op te sporen. | Beheer van speciale toegangsrechten volgens need-to-know-principe |
| CLD_U.09.10 | speciale toegangsrechten | Informatie van het loggen van gebeurtenissen van de gebruikers van de CSC en de toegang tot metadata betreffende de gegevens van de CSC is door de CSP beperkt door:
| Logging en beheersing van gebruik van speciale toegangsrechten |
| CLD_U.10.01 | Gebruik | De CSC behoort cryptografie te implementeren voor de gebruikte clouddiensten, tenzij anders blijkt uit een risicoanalyse. Cryptografie moet de geïdentificeerde risico’s afdoende te beperken, ongeacht of deze cryptografische oplossing door de CSC of door de CSP wordt geleverd. | Bieden toegang tot bevoegde services, IT-diensten en data |
| CLD_U.10.02 | Gebruik | Wanneer de CSP cryptografie aanbiedt, moet de CSC alle door de CSP verstrekte informatie beoordelen om te bevestigen of de cryptografische mogelijkheden:
| Verlenen toegang aan beheerders |
| CLD_U.10.03 | Gebruik | De CSP moet de CSC informatie verstrekken waar cryptografie wordt gebruikt, zodat de CSC kan bepalen of de informatie afdoende is beschermd. Daar waar gegevens van CSC’s via openbare netwerken worden overgedragen, geeft de CSP aan op welke wijze sterke encryptie en authenticatie de informatie afdoende beschermd.
De informatie moet duidelijkheid geven omtrent:
| Krijgen toegang tot IT-diensten en data |
| CLD_U.10.04 | Gebruik | De CSP moet de CSC ook informatie verstrekken over alle mogelijkheden die hij biedt die de CSC kan helpen bij het toepassen van zijn eigen cryptografische bescherming. | Toekennen bevoegdheden voor gebruikers via formele procedures |
| CLD_U.10.05 | Gebruik | De CSP biedt de CSC de mogelijkheid om eigen cryptografische sleutels te gebruiken en te beheren. | Beperken toegang tot IT-diensten en data door technische maatregelen en implementeren |
| CLD_U.10.06 | Beheer | De CSC moet de cryptografische sleutels voor elke clouddienst identificeren en procedures voor sleutelbeheer implementeren. | Toepassing van cryptografische standaarden en richtlijnen |
| CLD_U.10.07 | Beheer | Cryptografische toepassingen voldoen aan passende standaarden van het Forum Standaardisatie. De sterkte van de cryptografie wordt gebaseerd op de actuele adviezen van het NCSC en de Unit Weerbaarheid van de AIVD. | Inzicht in sleutelbeheerprocedures bij gebruik van CSP-functionaliteit |
| CLD_U.10.09 | beheer | De CSC mag de CSP niet toestaan de encryptiesleutels voor cryptografische operaties op te slaan en te beheren wanneer de CSC gebruik maakt van zijn eigen sleutelbeheer of van een afzonderlijke en aparte sleutelbeheerdienst. | Scheiding van sleutelbeheer tussen CSC en CSP |
| CLD_U.10.10 | beheer | De privésleutels die voor de versleuteling worden gebruikt, zijn alleen bekend bij de CSC, in overeenstemming met de toepasselijke wettelijke en regelgevende verplichtingen en vereisten. Uitzonderingen volgen een gespecificeerde procedure. De procedures voor het gebruik van private sleutels, inclusief eventuele uitzonderingen, moeten contractueel worden overeengekomen tussen CSC en CSP. | Exclusieve controle en contractuele borging van privésleutels door de CSC |
| CLD_U.11.01 | Geregistreerd | De CSC moet zijn vereisten voor het registreren van gebeurtenissen definiëren en verifiëren dat de clouddienst aan deze vereisten voldoet. | Uitwerken cryptografiebeleid |
| CLD_U.11.02 | Geregistreerd | De CSC moet informatie opvragen bij de CSP over de monitoringmogelijkheden die voor elke clouddienst beschikbaar zijn. | Hanteren PKI-overheidseisen en ISO 11770 voor sleutelbeheer |
| CLD_U.11.03 | Geregistreerd | De CSP heeft applicaties en infrastructuren zodanig geïmplementeerd en geconfigureerd dat gebruikerstoegang van de CSP en de CSC en intra-tenanttoegang worden gemonitord. | Versleutelen gevoelige data en private-sleutelgebruik baseren op gecontroleerde overeengekomen procedure |
| CLD_U.11.04 | Geregistreerd | De CSC moet bepalen of de door de CSP geleverde logmogelijkheden geschikt zijn en of dat de CSC aanvullende logmogelijkheden moet kunnen hebben. | Beoordeling van logmogelijkheden door de CSC |
| CLD_U.11.05 | Geregistreerd | De CSP moet mogelijkheden bieden waarmee de CSC specifieke, voor de CSC relevante, aspecten van de werking van de clouddiensten kan monitoren. Bijvoorbeeld om te monitoren en te detecteren of de clouddienst wordt gebruikt als platform om anderen aan te vallen, of dat er gevoelige gegevens uit de clouddienst lekken. | Monitoringmogelijkheden voor beveiliging en gebruik van clouddiensten |
| CLD_U.11.06 | Gesynchroniseerd | De CSC moet informatie opvragen over de kloksynchronisatie die wordt gebruikt voor de systemen van de CSP. | Inzicht in kloksynchronisatie van CSP-systemen |
| CLD_U.11.07 | Gesynchroniseerd | De CSP moet informatie verstrekken aan de CSC over de klok die wordt gebruikt door de systemen van de CSP, en informatie over hoe de CSC lokale klokken kan synchroniseren met de klok van de clouddienst. | Afstemming en synchronisatie van klokken tussen CSC en CSP |
| CLD_U.11.08 | beschermd | Als de CSC bewerking op de log mag uitvoeren, moeten die bewerkingen worden geregistreerd. | Logging van bewerkingen op loggegevens |
| CLD_U.11.09 | beschermd | Het gebruik van de monitoringmogelijkheden is voorzien van passende toegangscontroles. De mogelijkheden bieden alleen toegang tot informatie over de eigen clouddienst van de CSC. | Toegangsbeheer voor monitoringfunctionaliteiten |
| CLD_U.11.10 | Geanalyseerd | De CSP moet de CSC documentatie verstrekken over de mogelijkheden voor servicemonitoring. Monitoring moet gegevens opleveren die consistent zijn met de gebeurtenislogboeken en helpen bij de SLA-voorwaarden. | Documentatie en ondersteuning van servicemonitoring door de CSP |
| CLD_U.12.01 | vastgesteld | Wanneer de clouddienst multi-tenancy omvat, moet de CSP aangeven in welke mate wordt voldaan aan de veilige multi-tenancy en gerelateerde richtlijnen voor een veilige opslag van gegevens, zoals beschreven in ISO/IEC 27040. | Treffen maatregelen in koppelpunten met externe of onvertrouwde zones |
| CLD_U.12.02 | vastgesteld | De CSP moet rekening houden met de risico’s die gepaard gaan met het draaien van door CSC geleverde software binnen de door de CSP aangeboden clouddiensten. | Ontwerpen en configureren netwerkcomponenten om netwerkconnecties te beperken en te monitoren |
| CLD_U.12.03 | geïmplementeerd | De CSP moet passende logische scheiding van CSC-gegevens, (gevirtualiseerde) applicaties, besturingssystemen, opslag en netwerken afdwingen voor:
| Scheiden CSP-beheeractiviteiten en CSC-data |
| CLD_U.12.04 | geïmplementeerd | Wanneer de clouddienst multi-tenancy omvat, moet de CSP informatiebeveiligingscontroles implementeren om te zorgen voor een passende isolatie van bronnen die door verschillende tenants worden gebruikt. | Scheiden dataverkeer in gezamenlijk gebruikte netwerkomgevingen |
| CLD_U.12.05 | geïmplementeerd | De CSP zorgt voor de hardening van de virtuele machines in de multi-tenant-omgeving, om aan de beveiligingsvereisten van de CSC te voldoen. | Bewaken en analyseren dataverkeer op kwaadaardige elementen |
| CLD_U.13.01 | behoren | De CSC stelt eisen aan het scheiden van netwerken in de door met meerdere tenants gedeelde cloudomgeving om isolatie van een aangeboden clouddienst te bereiken. De CSC verifieert dat de CSP aan deze vereisten voldoet. | Functioneren orkestratietechnologie met heterogene systemen en mogelijk wereldwijde cloud-implementatie |
| CLD_U.13.02 | behoren | De CSP moet scheiding van netwerktoegang afdwingen in de volgende gevallen:
| Beschrijven functionele samenhang van service-componenten |
| CLD_U.13.03 | behoren | De CSP heeft specifieke beveiligingseisen ontworpen, gepubliceerd en voorzien voor het tot stand brengen van verbindingen binnen het netwerk van de CSP. De beveiligingseisen definiëren voor het verantwoordelijkheidsgebied van de CSP:
| Zorgen voor benodigde informatie voor orkestratie van cloudservices |
| CLD_U.13.04 | behoren | Waar nodig moet de CSP de CSC helpen bij het verifiëren van de door de CSP geïmplementeerde segregatie. | Verificatie van segregatie door de CSP met ondersteuning aan de CSC |
| CLD_U.13.05 | Gesegmenteerd | Bij de configuratie van virtuele netwerken moet er sprake zijn van consistentie van configuraties tussen virtuele en fysieke netwerken geverifieerd op basis van het netwerkbeveiligingsbeleid van de CSP. | Consistente configuratie van virtuele en fysieke netwerken |
| CLD_U.13.07 | Gesegmenteerd | De CSP moet ervoor zorgen dat de virtuele netwerkconfiguratie overeenkomt met het informatiebeveiligingsbeleid, ongeacht de middelen die worden gebruikt om de configuratie te creëren. | Naleving van beveiligingsbeleid binnen netwerkconfiguraties |
| CLD_U.13.08 | Gesegmenteerd | De CSP scheidt het dataverkeer van CSC’s op netwerkniveau, zodat de vertrouwelijkheid en integriteit van de verzonden gegevens is gegarandeerd. | Netwerksegmentatie ter bescherming van CSC-dataverkeer |
| CLD_U.13.09 | Koppel vlakken | De CSP bewaakt, versleutelt en beperkt de communicatie tussen segmenten/omgevingen tot alleen geverifieerde en geautoriseerde verbindingen. Controleer deze configuraties ten minste jaarlijks en ondersteun deze met een gedocumenteerde rechtvaardiging van alle toegestane services, protocollen, poorten en compenserende controles. | Beveiligde en gecontroleerde communicatie tussen netwerksegmenten |
| CLD_U.13.10 | Koppel vlakken | Door de CSP zijn op de koppelpunten met externe of onvertrouwde zones maatregelen getroffen om mogelijke aanvallen die de beschikbaarheid van de informatievoorziening negatief beïnvloeden (bijvoorbeeld Distributed Denial of Service attacks (DDos)-aanvallen) te signaleren en hierop te reageren, zodat (tegen)maatregelen met betrekking tot correlerende gebeurtenissen kunnen worden geïnitieerd. | Detectie en mitigatie van aanvallen op netwerkkoppelpunten |
| CLD_U.13.11 | Koppel vlakken | Het dataverkeer dat de CSP binnenkomt of uitgaat, wordt in relatie tot de aard van de te beschermen gegevens/informatiesystemen bewaakt en geanalyseerd op kwaadaardige elementen middels detectievoorzieningen. | Monitoring en analyse van netwerkverkeer op kwaadaardige activiteiten |
| CLD_U.14.01 | beschermd | De CSC heeft voor alle informatie(systemen) in selectielijsten de bewaartermijn vastgelegd, rekening houdend met de eigen bedrijfsdoelstellingen en wet- en regeling, zoals de archiefwet en privacywetgeving. De CSC heeft deze termijnen ook praktisch ingeregeld en toetst periodiek de werking hiervan. | Hebben beschikbare gegevens om interoperabiliteit van cloudservices te garanderen |
| CLD_U.14.02 | beschermd | De CSP bewaart, archiveert en verwijdert gegevens in overeenstemming met de vereisten van de CSC en toepasselijke wet- en regelgeving. | Gebruiken beveiligde netwerkprotocollen voor import en export van data |
| CLD_U.14.03 | beschermd | De CSC moet informatie opvragen bij de CSP over de bescherming van door de CSP verzamelde en opgeslagen gegevens die relevant zijn voor het gebruik van clouddiensten door de CSC. | Opvragen van informatie over gegevensbescherming door de CSC |
| CLD_U.14.04 | beschermd | De CSP moet informatie verstrekken aan de CSC over de bescherming van gegevens die door de CSP worden verzameld en opgeslagen met betrekking tot het gebruik van clouddiensten door de CSC. | Verstrekking van informatie over gegevensbescherming door de CSP |
| CLD_U.15.01 | Gecontroleerd | Wanneer door de CSP het gebruik van systeemhulpmiddelen is toegestaan, moet de CSC de systeemhulpmiddelen identificeren die in zijn cloudomgeving moeten worden gebruikt, en ervoor zorgen dat deze de werking van de clouddienst niet verstoren. | Vastleggen beleidsregel-overtreding |
| CLD_U.15.02 | Gecontroleerd | De CSP moet de vereisten identificeren voor alle systeemhulpmiddelen die binnen de clouddienst worden gebruikt. | Hebben SIEM- en/of SOC-regels over te rapporteren incident |
| CLD_U.15.03 | Gecontroleerd | De CSP moet ervoor zorgen dat elk gebruik van systeemhulpmiddelen die de normale bedrijfs- of beveiligingsprocedures kunnen omzeilen, strikt beperkt blijft tot bevoegd personeel, en dat het gebruik van dergelijke hulpmiddelen regelmatig wordt beoordeeld en gecontroleerd. | Hanteren en beoordelen lijst van alle kritische activa |
| CLD_U.16.01 | Bedieningsprocedures | Procedures voor administratieve handelingen in een cloudcomputing-omgeving moeten worden gedefinieerd, gedocumenteerd en gecontroleerd. | Specificeren minimale zaken voor architectuur |
| CLD_U.16.02 | Beschikbaar | De CSP moet documentatie over de kritieke operaties en procedures verstrekken aan de CSC’s. | Documentatie van kritieke operaties en procedures door de CSP |
| CLD_U.16.03 | Beschikbaar | De CSC moet procedures documenteren voor kritieke operaties waarbij een storing onherstelbare schade kan veroorzaken aan bedrijfsmiddelen in de cloudcomputing-omgeving. | Vastlegging van procedures voor kritieke operaties door de CSC |
| CLD_U.16.04 | Beschikbaar | De CSP heeft in een document vastgelegd dat en hoe toezicht wordt gehouden op kritieke operaties, inclusief de technische maatregelen om detectietools, bedreigingssignaturen en indicatoren van onjuiste handelingen wekelijks of vaker bij te werken. | Toezicht en beveiligingsmaatregelen bij kritieke operaties door de CSP |
| CLD_U.17.01 | Bedieningsprocedures | De CSC moet de volgende items toevoegen aan bewustmakings-, opleidings- en trainingsprogramma’s voor bedrijfsmanagers van clouddiensten, beheerders van clouddiensten, integrators van clouddiensten en gebruikers van clouddiensten, inclusief relevante werknemers en contractanten:
| Versleutelen CSC-data op transport en in rust |
| CLD_U.17.02 | opleiding en training | De CSP moet documentatie over de kritieke operaties en procedures verstrekken aan de CSC’s. | Gescheiden inrichten virtuele machine-platforms voor CSC’s |
| CLD_U.17.02 | opleiding en training | Er moeten door de CSC voorlichtings-, onderwijs- en trainingsprogramma’s op het gebied van informatiebeveiliging over clouddiensten worden aangeboden aan het management en de toezichthoudende managers, inclusief die van bedrijfsonderdelen. | Bewustwording en training over cloudbeveiliging binnen de CSC |
| CLD_U.17.03 | opleiding en training | De CSP moet zorgen voor bewustwording, opleiding en training voor werknemers, en CSC’s, zoals dienstverleners of leveranciers wier diensten bijdragen aan het aanbieden van de clouddienst, verzoeken hetzelfde te doen, met betrekking tot de juiste omgang met CSC-gegevens en van clouddiensten afgeleide gegevens. Deze gegevens kunnen informatie bevatten die vertrouwelijk is voor een CSC of onderworpen zijn aan specifieke beperkingen, waaronder wettelijke beperkingen, met betrekking tot toegang en gebruik door de CSP. | Bewustwording en training over gegevensbescherming door de CSP en ketenpartners |
| CLD_U.17.03 | opleiding en training | De CSP moet zorgen voor bewustwording, opleiding en training voor werknemers, en CSC’s, zoals dienstverleners of leveranciers wier diensten bijdragen aan het aanbieden van de clouddienst, verzoeken hetzelfde te doen, met betrekking tot de juiste omgang met CSC-gegevens en van clouddiensten afgeleide gegevens. Deze gegevens kunnen informatie bevatten die vertrouwelijk is voor een CSC of onderworpen zijn aan specifieke beperkingen, waaronder wettelijke beperkingen, met betrekking tot toegang en gebruik door de CSP. | Hardenen virtuele machine-platforms |
| CLD_U.18.01 | verkregen | De CSC dient informatie op te vragen bij de CSP over het beheer van technische kwetsbaarheden die van invloed kunnen zijn op de geleverde clouddiensten. | Opvragen van informatie over kwetsbaarhedenbeheer door de CSC |
| CLD_U.18.02 | verkregen | De CSP moet aan CSC van de clouddienst informatie beschikbaar stellen over het beheer van technische kwetsbaarheden die van invloed kunnen zijn op de geleverde clouddiensten. | Verstrekking van informatie over kwetsbaarhedenbeheer door de CSP |
| CLD_U.18.03 | verkregen | De CSP informeert de CSC periodiek over de status van incidenten die de CSC raken, of betrekt CSC waar passend en noodzakelijk bij de oplossing. Zodra een incident vanuit het perspectief van de CSP is opgelost, wordt de CSC geïnformeerd over de ondernomen acties. | Communicatie en opvolging van incidenten door de CSP |
| CLD_U.18.04 | geëvalueerd | De CSC identificeert technische kwetsbaarheden waar hij verantwoordelijk voor is. De CSC voorkomt nadelige gevolgen en heeft daartoe een proces gedefinieerd en ingericht. | Identificatie en beheersing van technische kwetsbaarheden door de CSC |
| CLD_U.18.05 | geëvalueerd | Als de kans op misbruik en de verwachte schade beide hoog zijn (bijvoorbeeld met de NCSC-Inschalingsmatrix beveiligingsadviezen of leveranciersbeveiligingsadviezen), worden passende mitigerende maatregelen zo snel mogelijk, maar uiterlijk binnen een week getroffen. | Tijdige mitigatie van kritieke kwetsbaarheden |
| CLD_U.19.01 | mechanisme | De CSP moet de CSC mechanismen bieden voor:
| Mechanismen voor melding, rapportage en opvolging van beveiligingsincidenten |
| CLD_U.19.02 | mechanisme | De CSC moet informatie opvragen bij de CSP over door de CSC te hanteren mechanismen voor:
| Afstemming over incidentmanagementprocessen tussen CSC en CSP |
| CLD_U.19.03 | passende kanalen | De CSP moet essentiële informatie verstrekken, zoals telefoonnummers, e-mailadressen en servicetijden voor zowel de CSC als de CSP. | Beschikbaarheid van contactinformatie voor incidentafhandeling |
| CLD_U.19.04 | passende kanalen | De CSP beheert en verwijst naar een dagelijks bijgewerkt online register van bekende kwetsbaarheden die van invloed zijn op de CSP en op door de CSP geleverde middelen. Bij iedere kwetsbaarheid wordt aangegeven of er software-updates (bijvoorbeeld een patch of update) beschikbaar zijn, wanneer deze uitgerold worden en of deze door de CSP, de CSC of beiden samen moet worden geïnstalleerd. De bij de kwetsbaarheid opgenomen informatie vormt een geschikte basis voor risicobeoordeling en eventuele vervolgmaatregelen aan de CSC. Het online register is eenvoudig toegankelijk voor elke CSC. | Transparantie over kwetsbaarheden via een actueel register |
| CLD_U.19.05 | melden | De CSP heeft, in lijn met de toepasselijke wet- en regelgeving, een procedure opgesteld voor het beheren en beantwoorden van verzoeken om openbaarmaking van persoonsgegevens door wetshandhavingsautoriteiten en rapporteert de CSC over de te volgen procedure. De CSP meldt een openbaarmaking aan de CSC, volgens een opgestelde meldingsprocedure, tenzij dit verboden is, zoals bij een strafrechtelijke eis om de vertrouwelijkheid van een rechtshandhavingsonderzoek te bewaren. | Beheer en melding van verzoeken tot gegevensverstrekking door autoriteiten |
| CLD_U.19.06 | melden | Wanneer een informatiebeveiligingsgebeurtenis wordt gedetecteerd door de CSC of door de CSP, behoort dit onmiddellijk aan de andere partij te worden gemeld. | Wederzijdse meldplicht bij informatiebeveiligingsgebeurtenissen |
| CLD_U.20.01 | gedefinieerd, vastgesteld | De CSC moet de toewijzing van verantwoordelijkheden voor het beheer van informatiebeveiligingsincidenten verifiëren en ervoor zorgen dat deze voldoet aan de eisen van de CSC. | Verificatie van verantwoordelijkheden voor incidentbeheer door de CSC |
| CLD_U.20.02 | gedefinieerd, vastgesteld | Als onderdeel van de dienstspecificaties moet de CSP de toewijzing van verantwoordelijkheden en procedures voor het beheer van informatiebeveiligingsincidenten tussen de CSC en de CSP definiëren. | Vastlegging van verantwoordelijkheden en procedures voor incidentbeheer |
| CLD_U.20.03 | verzamelen | De CSP moet de CSC documentatie verstrekken over:
| Documentatievereisten voor rapportage van informatiebeveiligingsincidenten |
| CLD_U.20.04 | verzamelen | Nadat een beveiligingsincident, volgens een responsplan voor beveiligingsincidenten is afgehandeld, wordt door de CSP de rapportage ter definitieve bevestiging naar de CSC gestuurd. | Rapportage en bevestiging na afhandeling van beveiligingsincidenten |
| CLD_U.20.05 | verzamelen | De CSP definieert en implementeert processen, procedures en technische maatregelen voor meldingen van beveiligingsinbreuken in de (toeleverings)keten. De CSP rapporteert aan de CSC inbreuken op de beveiliging en veronderstelde inbreuken op de beveiliging, inclusief eventuele relevante inbreuken op de (toeleverings)keten, volgens de toepasselijke SLA’s en wet- en regelgeving. | Beheer en melding van beveiligingsincidenten in de toeleveringsketen |
| CLD_U.20.06 | verzamelen | De CSP meldt een incident onmiddellijk als een incident aanzienlijke gevolgen heeft voor de continuïteit van zijn essentiële dienst, ook als de CSP niet valt onder de jurisdictie van Nederland, bij de Nederlandse minister van Justitie en Veiligheid en de bevoegde autoriteit. De CSP onderhoudt daartoe contactpunten voor toepasselijke regelgevende instanties, nationale en lokale wetshandhavingsinstanties en andere juridische bevoegde autoriteiten. | Meldplicht bij ernstige incidenten richting autoriteiten |
| CLD_U.20.07 | verzamelen | De CSC en de CSP moeten overeenstemming bereiken over de procedures om te reageren op verzoeken om potentieel digitaal bewijsmateriaal of andere informatie vanuit de cloudcomputing-omgeving. | Afstemming over omgang met digitaal bewijsmateriaal en informatieverzoeken |
| CLD_U.21.01 | geïmplementeerd | Wanneer de CSC gebruik maakt van meerdere CSP’s, dan behoort de CSC ervoor te zorgen dat er een adequate organisatiestructuur is die is voorbereid op een verstoring, deze verzacht en erop reageert, ondersteund door personeel met de nodige verantwoordelijkheid, autoriteit en competentie. | Organisatie en paraatheid voor verstoringen bij multi-cloudgebruik |
| CLD_U.21.02 | geïmplementeerd | De CSP draagt zorg voor redundantie in middelen en voor een redelijke minimale afstand ervan in overeenstemming met de toepasselijke industrienormen en rekening houdend met calamiteiten, zoals natuurrampen. De CSP informeert de CSC over mogelijke restrisico’s in het kader van de BIA van de CSC. | Redundantie en restrisicocommunicatie door de CSP |
| CLD_U.21.03 | Bedrijfscontinuïteits doelstellingen | De CSC beschrijft de ICT-continuïteitseisen als resultaat van de bedrijfsimpactanalyse (BIA). | Vaststelling van ICT-continuïteitseisen op basis van de BIA |
| CLD_U.21.04 | Bedrijfscontinuïteits doelstellingen | Wanneer de CSC gebruik maakt van meerdere CSP’s, dan behoort de CSC strategieën voor ICT-continuïteit te identificeren en selecteren waarin opties voor voorafgaand aan, tijdens en na een verstoring in overweging worden genomen. Op basis van de strategieën behoren plannen te worden opgesteld, geïmplementeerd en getest om na een (ver)storing van essentiële processen het vereiste beschikbaarheidsniveau van ICT-diensten binnen de vereiste tijdsbestekken te halen. | Strategieën en plannen voor ICT-continuïteit bij multi-cloudgebruik |
| CLD_U.21.05 | ICT-continuïteitseisen | De CSP behoort de impact van een storing op de clouddienst of onderneming te bepalen en ervoor te zorgen dat ICT-continuïteitsplannen de volgende ICT-continuïteitsinformatie omvatten:
| Bepaling van RTO en RPO binnen ICT-continuïteitsplanning |
| CLD_U.21.06 | ICT-continuïteitseisen | De serviceovereenkomst tussen de CSC en de CSP bevat informatie over hoe en in welke mate de continuïteit van de clouddienstverlening is gewaarborgd. In een rampenresponsplan is beschreven hoe te herstellen van natuurrampen en door de mens veroorzaakte rampen. | Contractuele borging van continuïteit en rampenherstel |
| CLD_U.21.07 | ICT-continuïteitseisen | De CSC waarborgt dat de in de serviceovereenkomst beschreven informatie over de continuïteit van de clouddienstverlening voldoet aan de continuïteitseisen als resultaat van de BIA. | Toetsing van continuïteitsafspraken aan BIA-eisen door de CSC |
| CLD_U.22.01 | gemonitord | De CSC zorgt ervoor dat de overeengekomen capaciteit die door de clouddienst wordt geleverd, voldoet aan de eisen van de CSC, ook bij capaciteitstekorten of uitval van personeel en IT-middelen. | Borging van voldoende capaciteit van clouddiensten door de CSC |
| CLD_U.22.02 | gemonitord | De CSC moet het gebruik van clouddiensten monitoren en hun capaciteitsbehoeften voorspellen om de prestaties van de clouddiensten in de loop van de tijd te garanderen. | Monitoring en prognose van capaciteitsbehoeften door de CSC |
| CLD_U.22.03 | gemonitord | Afhankelijk van het type clouddienst kan de CSC systeembronnen inzetten die aan hem zijn toegewezen. Daarbij kan de CSP het beheer/gebruik controleren en monitoren om overbelasting van de systeembronnen te voorkomen en een goede performance te bereiken. | Beheer en controle van systeembronnen binnen clouddiensten |
| CLD_U.22.04 | aangepast | De CSP moet de totale capaciteit van de middelen monitoren om informatiebeveiligingsincidenten veroorzaakt door tekorten aan middelen te voorkomen. De CSP identificeert daartoe gebruikstrends, zodat de CSP aan toekomstige capaciteitsvereisten kan voldoen. | Capaciteitsmonitoring en trendanalyse door de CSP |
| CLD_U.23.01 | bewaard | Het moet duidelijk zijn als de CSC verantwoordelijk is voor het implementeren van back-upmogelijkheden wanneer de CSP deze niet biedt, omdat dit geen onderdeel uitmaakt van het type clouddienst. | Verantwoordelijkheid voor back-upvoorzieningen binnen clouddiensten |
| CLD_U.23.02 | overeenkomstig | De CSP moet de specificaties van zijn back-upmogelijkheden aan de CSC verstrekken. De specificaties moeten, indien van toepassing, de volgende informatie bevatten:
| Specificatie en transparantie van back-upmogelijkheden door de CSP |
| CLD_U.23.03 | overeenkomstig | Back-upmaatregelen voor individuele systemen en diensten behoren regelmatig te worden getest om te waarborgen dat ze voldoen aan de doelstellingen van incidentrespons- en bedrijfscontinuïteitsplannen. Dit behoort te worden gecombineerd met een test van de herstelprocedures en te worden gecontroleerd aan de hand van de volgens het bedrijfscontinuïteitsplan vereiste hersteltijd. In het geval van kritische systemen en diensten behoren back-upmaatregelen betrekking te hebben op de informatie, toepassingen en gegevens van alle systemen die nodig zijn om het gehele systeem na een calamiteit te herstellen. | Testen en valideren van back-up- en herstelprocedures |
| CLD_U.23.04 | beleid | Wanneer de CSP back-upmogelijkheden levert als onderdeel van de clouddienst, moet de CSC de specificaties van de back-upmogelijkheden opvragen bij de CSP. | Opvragen van back-upspecificaties door de CSC |
| CLD_U.23.05 | beleid | De CSP moet de CSC veilige en gescheiden toegang bieden tot back-ups, zoals virtuele snapshots van een virtuele machine of de opslag, als een dergelijke dienst aan CSC’s wordt aangeboden. | Veilige en gescheiden toegang tot back-ups door de CSP |
Control (normen)
| ID | trefwoord | Stelling | Norm |
|---|---|---|---|
| CLD_C.01.01 | cloudgebruik | De CSC houdt het cloudgebruik en de risico’s daarvan bij. Dit wordt bij wezenlijke wijzigingen en ten minste jaarlijks geactualiseerd.
1. De registratie bevat ten minste de volgende zaken:
| Beschikken over richtlijnen voor inrichting van service-management-organisatie |
| CLD_C.01.02 | Risicoanalyses | De CSC actualiseert de toegespitste risicoanalyse, exitstrategie en (pre-scan of formele) DPIA bij wezenlijke wijzigingen in de dienstverlening of in de functionaliteit, de technische inrichting, de geografische inrichting of de toeleveranciers, inclusief de te nemen passende acties. Dit vindt ten minste iedere drie jaar plaats of vaker als daar aanleiding toe is. Indien analyses op basis van het cloudbeleid met CIO Rijk moeten worden gedeeld, worden de geactualiseerde analyses opnieuw gedeeld met CIO Rijk. | Beschrijven en inrichten relevante beheerprocessen |
| CLD_C.01.03 | Risicoanalyses | Voor bestaande clouddiensten moet conform de BIO2 een risicoanalyse zijn uitgevoerd. Ook deze analyses worden binnen hun huidige levenscyclus en ten minste binnen drie jaar herijkt aan het cloudbeleid en het implementatiekader. | Richtlijnen voor uitvoeren controle-activiteiten en evalueren van en rapporteren over prestaties |
| CLD_C.01.04 | Risicoanalyses | De CSC verifieert regelmatig de criteria die gebruikt worden om de risico’s te meten en om vast te stellen of ze steeds consistent zijn met de wet- en regelgeving, organisatiedoelstellingen, de strategie en het beleid. Daarbij wordt de context van de organisatie steeds in beschouwing genomen. | Periodieke verificatie van risicocriteria in lijn met wetgeving en organisatiedoelstellingen |
| CLD_C.02.01 | implementatie | De CSC moet om gedocumenteerd bewijs vragen dat de implementatie van informatiebeveiligingscontroles en richtlijnen voor de clouddienst in overeenstemming is met eventuele beweringen van de CSP. Dergelijk bewijsmateriaal kan certificeringen volgens relevante normen omvatten, zoals ISO 27001, ISAE 3402 en SOC2 (type I of II). | Verifiëren van criteria voor risicometing en vaststelling consistentie van criteria |
| CLD_C.02.02 | implementatie | Voor de governance van de clouddienstverlening aan de CSC heeft de CSP een compliance-proces ingericht, waarmee continue compliance op wet- en regelgeving en het overeengekomen cloudbeveiligingsbeleid vorm wordt gegeven. | Monitoren en evalueren risico’s voor behouden risicobeeld en tijdige vaststelling van veranderingen |
| CLD_C.02.03 | implementatie | De CSP moet gedocumenteerd bewijs aan de CSC verstrekken om zijn bewering over het implementeren van informatiebeveiligingscontroles te onderbouwen. | Richten op diverse zaken met betrekking tot monitoren van risico |
| CLD_C.02.04 | implementatie | Wanneer overeen is gekomen dat er individuele CSC-audits worden gehouden dan zijn het beleid en de instructies (inclusief concepten en richtlijnen) voor het plannen en uitvoeren van audits gedocumenteerd, gecommuniceerd en beschikbaar gesteld en volgens een uniforme structuur gedocumenteerd. Hierbij is er duidelijkheid over de doelstellingen, de verdeling van rollen en verantwoordelijkheden tussen CSC en de CSP, inclusief de kwalificatievereisten voor personeel en de toepasselijke wettelijke en regelgevende vereisten. | Uitvoeren monitoringsactiviteiten en mitigeren risico’s |
| CLD_C.02.05 | implementatie | De CSP zorgt ervoor dat de jaarlijkse rapportage, de uitkomsten van de periodieke servicerapportages en de uitkomsten uit de continue compliance op het cloudbeveiligingsbeleid op elkaar aansluiten. | Adresseren diverse elementen bij monitoring en reviewen |
| CLD_C.02.06 | onpartijdig | Wanneer individuele CSC-audits voor de CSP onpraktisch zijn of de risico’s voor de informatiebeveiliging kunnen vergroten, moet de CSP onpartijdig bewijs leveren dat de informatiebeveiliging wordt geïmplementeerd en geëxploiteerd in overeenstemming met het beleid en de procedures van de CSP. Daartoe controleren deskundigen die de toepassing van de relevante en toepasselijke wettelijke, regelgevende, zelfopgelegde en contractuele vereisten op het beleid, de regels en de normen, inclusief de werking van het information security management system (ISMS). Dit gebeurt met regelmatige tussenpozen, ten minste jaarlijks. | Onafhankelijke toetsing van informatiebeveiliging bij de CSP |
| CLD_C.02.07 | onpartijdig | Het onpartijdige bewijs moet beschikbaar worden gesteld aan potentiële CSC’s voordat een contract wordt aangegaan. | Beschikbaarheid van auditbewijs voor potentiële CSC’s |
| CLD_C.02.08 | onpartijdig | De CSP behoort periodieke onpartijdige beoordelingen te plannen en te initiëren en hierover te rapporteren aan de CSC. | Planning en rapportage van periodieke onafhankelijke beoordelingen |
| CLD_C.02.09 | opgevolgd | De CSP behoort zo nodig op basis van de rapportering corrigerende maatregelen te initiëren. Hiertoe worden geïdentificeerde kwetsbaarheden en afwijkingen onderworpen aan een risicobeoordeling en worden vervolgmaatregelen gedefinieerd en opgevolgd. Hiertoe wordt een op risico gebaseerd correctief actieplan gehanteerd, waarbij de herstelstatus beoordeeld kan worden en gerapporteerd wordt aan de relevante belanghebbenden. | Corrigerende maatregelen en opvolging op basis van auditbevindingen |
| CLD_C.03.01 | processtructuur | De samenhang tussen de processen van de CSC en van de CSP in een afgestemde processtructuur wordt gecontroleerd op efficiëntie. | Inrichten compliance-proces voor governance van clouddienstverlening |
| CLD_C.03.02 | taken, verantwoordelijkheden en bevoegdheden | De CSC en de CSP houden de taken en verantwoordelijkheden voor de uitvoering van de beheer(s)werkzaamheden bij en de bijbehorende bevoegdheden zijn actueel, zodat deze bijdragen aan de effectiviteit van de ketenafspraken. | Registreren reguliere rapportages in administratie |
| CLD_C.03.03 | functionarissen | De belangrijkste functionarissen (aanspreekpunten) voor de beheerorganisatie in de keten CSC-CSP zijn actueel en de onderlinge relaties zijn met een organisatieschema inzichtelijk onderhouden. | Aansluiten compliance-proces op ISMS |
| CLD_C.04.01 | bewaakt | Richtlijnen en afspraken voor het monitoren en rapporteren over informatiebeveiliging van de cloudomgeving zijn vastgesteld en worden toegepast conform U.11. | Beschikbaar stellen informatie over beheer van technische kwetsbaarheden |
| CLD_C.04.02 | gerapporteerd | Het rapporteren over de informatiebeveiliging is gerelateerd aan:
| Definiëren en vaststellen rollen en verantwoordelijkheden |
| CLD_C.04.03 | gerapporteerd | Het rapporteren vindt plaats op basis van:
| Installeren patches en treffen mitigerende maatregelen |
| CLD_C.04.04 | gerapporteerd | Op vaste tijdstippen worden statistieken vastgesteld, gemonitord en gerapporteerd over de identificatie en het herstel van kwetsbaarheden. | Definiëren tijdspad waarbinnen gereageerd moet worden op aankondiging kwetsbaarheid |
| CLD_C.04.05 | gerapporteerd | Informatiebeveiligingsrapportages worden in samenhang met rapportages uit andere beheerdisciplines (compliance en assurance-management en vulnerability-management) geanalyseerd. | Uitvoeren penetratietests op ICT-componenten |
| CLD_C.04.06 | gerapporteerd | Aantoonbaar wordt opvolging gegeven aan verbetervoorstellen uit analyserapportages. | Verhelpen technische zwakheden door patchmanagement |
| CLD_C.04.07 | opgevolgd | De beveiligingsplannen van de CSC en de CSP worden periodiek geactualiseerd en toegewezen aan de hiervoor verantwoordelijke functionarissen. | Registreren en rapporteren evaluaties van technische kwetsbaarheden |
| CLD_C.04.08 | beoordeeld | Het beleid en de procedures voor het tijdige beheer van beveiligingsincidenten vaststellen, documenteren, goedkeuren, communiceren, toepassen, evalueren en onderhouden. Minstens jaarlijks worden het beleid en de procedures beoordeeld en geüpdatet. | Communiceren verbeteringsvoorstellen uit evaluatierapportages en communiceren met de verantwoordelijken |
| CLD_C.04.09 | beoordeeld | De processen, procedures en technische maatregelen ter ondersteuning van bedrijfsprocessen om informatiebeveiligingsgebeurtenissen te beoordelen zijn gedefinieerd, geïmplementeerd en geëvalueerd. | Inrichting en evaluatie van processen voor beoordeling van informatiebeveiligingsgebeurtenissen |
| CLD_C.05.01 | contractuele vereisten en SLA’s | Minimaal jaarlijks worden de contractuele vereisten en SLA’s gecontroleerd voor alle diensten die een CSP aan de CSC levert. Wanneer niet aan de contractuele vereisten en SLA’s wordt voldaan, wordt dit in samenspraak tussen de CSC en de CSP besproken en worden de problemen opgelost. | Vaststellen en toepassen richtlijnen en afspraken voor monitoren en rapporteren |
| CLD_C.05.02 | BCM | De CSC evalueert het beleid en de procedures voor bedrijfscontinuïteitsbeheer (BCM) en operationele weerbaarheid. De evaluatie van het up-to-date houden van het beleid en de procedures gebeurt minstens jaarlijks. | Monitoren en rapporteren over informatiebeveiliging is gerelateerd doelen, risico en beveiligingsincidenten |
| CLD_C.05.03 | BCM | Herstelprocedures worden door de CSP regelmatig getest, tenminste jaarlijks. Met de tests kan worden beoordeeld of zowel de contractuele afspraken met de CSC als de specificaties voor de maximaal toelaatbare downtime (Recovery Time Objective, RTO) en het maximaal toelaatbare dataverlies (Recovery Point Objective, RPO) worden nageleefd (zie U.21). Afwijkingen van de specificaties worden gemeld aan de CSC. | Monitoren informatiebeveiliging en rapportages op basis van verzamelde informatie en inzicht |
| CLD_C.05.04 | cryptografie | Het beleid en de procedures voor cryptografie, encryptie en sleutelbeheer (zie U.10) worden minstens jaarlijks beoordeeld. | Analyseren informatiebeveiligingsrapportages in samenhang |
| CLD_C.05.05 | cryptografie | Voer een audit uit van encryptie- en sleutelbeheersystemen, encryptiebeleid en bijbehorende processen met een frequentie die evenredig is aan de risicoblootstelling van het systeem, waarbij de audit bij voorkeur continu maar ten minste jaarlijks en na eventuele beveiligingsgebeurtenissen plaatsvindt. | Opvolgen verbeteringsvoorstellen uit analyse-rapportages |
| CLD_C.05.06 | cryptografie | Registreer en bewaak belangrijke levenscyclusbeheergebeurtenissen om auditing en rapportage over het gebruik van cryptografische sleutels mogelijk te maken. | Actualiseren beveiligingsplannen en toewijzen aan verantwoordelijken |
| CLD_C.05.07 | software | Door de CSC worden voor het veilig houden van de applicaties de effectiviteit van de basisvereisten gecontroleerd en de versies van de basisvereisten beheerd. Zo nodig worden de vereisten, de documentatie en de communicatie verbeterd. | Beheer en evaluatie van basisvereisten voor applicatiebeveiliging |
| CLD_C.05.08 | Koppel vlakken | De CSP bewaakt, versleutelt en beperkt de communicatie tussen segmenten/omgevingen tot alleen geverifieerde en geautoriseerde verbindingen. De CSP controleert deze configuraties ten minste jaarlijks en ondersteunt ze met een gedocumenteerde rechtvaardiging van alle toegestane services, protocollen, poorten en compenserende controles. | Beveiligde communicatie en netwerksegmentatie door de CSP |
| CLD_C.05.09 | koppel vlakken | Als penetratietesten onderdeel zijn van de beveiligingstests, genoemd als onderdeel in de leveranciersovereenkomst, dan worden voor het periodiek uitvoeren van penetratietesten door onpartijdige derde partijen de processen, procedures en technische maatregelen gedefinieerd, geïmplementeerd en geëvalueerd. | Inrichting en uitvoering van penetratietesten |
| CLD_C.05.10 | interoperabiliteit & portabiliteit | Het beleid, de procedures en de voorzieningen voor retourneren, verplaatsen en verwijderen van bedrijfsmiddelen, inclusief de daarvoor benodigde interoperabiliteit en portabiliteit worden, in lijn met U.02, minstens jaarlijks beoordeeld en geüpdatet. | Periodieke evaluatie van processen voor bedrijfsmiddelenbeheer |
| CLD_C.05.11 | Informatiebeveiligings programma | De CSC hanteert een informatiebeveiligingsprogramma met daarin de aandachtspunten voor de inzet van de clouddiensten. De afspraken in de leveranciersovereenkomst en de objecten in dit thema-document kan daarvoor input zijn. | Informatiebeveiligingsprogramma voor cloudgebruik binnen de CSC |
| CLD_C.06.01 | Processtructuur | De samenhang van processen wordt in een processtructuur vastgelegd. | Vastleggen samenhang van processen in processtructuur |
| CLD_C.06.02 | Taken, verantwoordelijkheden en bevoegdheden | De Cloud Service Provider (CSP) heeft de taken en verantwoordelijkheden voor de uitvoering van de beheer(s)werkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. | Beschrijven taken, verantwoordelijkheden en bevoegdheden voor uitvoeren beheer(s)werkzaamheden |
| CLD_C.06.03 | Functionarissen | De belangrijkste functionarissen (stakeholders) voor de beheersingsorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt. | Benoemen functionarissen voor beheersingsorganisatie en inzichtelijk maken onderlinge relaties |
Ga naar de gebruikerspagina van Gebruiker:GvdB
Contact: +31611307897 (Signal)
Gewijzigd:
9 april 2026 12:36:07
Verplichting: Informatief
Beheerregime:
Fase: Beheerfase
30 april 2020 10:11:55
9 april 2026 12:36:07
53
Informatief
1 februari 2026
