BIO Thema-uitwerking Clouddiensten

Uit NORA Online
BIO Thema Clouddiensten
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)

Dit Normenkader is deel van ISOR.


De BIO Thema-uitwerking Clouddiensten, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie (Uitvoeringsinstituut Werknemersverzekeringen (UWV)/CIP (Centrum Informatiebeveiliging en Privacybescherming)) en Jaap van der Veen (CIP). De opdrachtgever is de de directeur CIP. Het CIP-kernteam heeft versie 2.0 van dit normenkader gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’.

Considerans

CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt.


Opmerkingen en aanvullingen kun je melden op cip-overheid.nl/contact.

Leeswijzer

Voorafgaand aan het beleidsdomein, uitvoeringsdomein en control-domein, de kern van dit document, heeft elke BIO Thema-uitwerking een inleiding met een standaard paragraafindeling.


Aanvullend geldt:

  • Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht.
  • De controls en maatregelen vermeld in deze thema-uitwerking zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is.
  • Van best practices (open standaarden al dan niet toegankelijk met een licentie) zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is.
  • Voor een overzicht van alle gebruikte best practices, afkortingen en begrippen en een generieke toelichting op de opzet van de thema-uitwerkingen, zie de Structuurwijzer BIO Thema-uitwerkingen.


Binnen dit normenkader

Relatie tussen principes en onderliggende normen

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.

Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.

Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.


Indelingen binnen BIO Thema-uitwerking Clouddiensten

Alle onderdelen van BIO Thema-uitwerking Clouddiensten zijn ingedeeld volgens de SIVA-methodiek. Dat betekent dat alle principes en onderliggende normen zijn ingedeeld in één van drie aspecten: Beleid (B), Uitvoering (U) of Control (C). Binnen normenkaders die geheel volgens de SIVA-methodiek zijn opgesteld herken je bovendien een tweede indeling, in de invalshoeken Intentie (I) of Functie (F) of Gedrag (G) of Structuur (S). Deze indeling heeft binnen SIVA tot doel om lacunes te ontdekken in de objectanalyse die leidt tot normen. Voor de Privacy Baseline en de SSD-stukken geldt een uitzondering. Daar heeft IFGS geen rol gespeeld bij de samenstelling van het 'normenkader'.

De principes en onderliggende normen van BIO Thema-uitwerking Clouddiensten zijn op basis hiervan in een aantal overzichten gezet:

Principes uit BIO Thema-uitwerking Clouddiensten

In deze tabel staan alle principes uit BIO Thema-uitwerking Clouddiensten, met het unieke ID, Criterium en de conformiteitsindicatoren die verder zijn uitgewerkt in normen. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabellen zijn ook beschikbaar als csv-download (export alle beveiligingsaspecten / beleid / uitvoering / Control) en in uitgebreide versie met alle bestaande eigenschappen.

Beleid (principes)

export principes Beleid als csv

IDPrincipeCriterium
CLD_B.01Wet- en regelgeving ClouddienstenAlle relevante wettelijke, statutaire, regelgevende, contractuele eisen en de aanpak van de CSP om aan deze eisen te voldoen behoren voor elke clouddienst en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
CLD_B.02CloudbeveiligingsstrategieDe CSP behoort een cloud-beveiligingsstrategie te hebben ontwikkeld die samenhangt met de strategische doelstelling van de CSP en die aantoonbaar de informatieveiligheid ondersteunt.
CLD_B.03Exit-strategie clouddienstenIn de clouddienstenovereenkomst tussen de CSP en CSC behoort een exit-strategie te zijn opgenomen waarbij zowel een aantal bepalingen over exit zijn opgenomen, als een aantal condities die aanleiding kunnen geven tot een exit.


((NB: Weolcan: https://blog.weolcan.eu/wat-is-een-cloud-exit-strategie-precies-en-hoe-voer-je-het-uit))
CLD_B.04ClouddienstenbeleidDe CSP behoort haar informatiebeveiligingsbeleid uit te breiden met een cloud-beveiligingsbeleid om de voorzieningen en het gebruik van cloud-services te adresseren.
CLD_B.05TransparantieDe CSP voorziet de CSC in een systeembeschrijving waarin de clouddiensten inzichtelijk en transparant worden gespecificeerd en waarin de jurisdictie, onderzoeksmogelijkheden en certificaten worden geadresseerd.
CLD_B.06RisicomanagementDe CSP behoort de organisatie en verantwoordelijkheden voor het risicomanagementproces voor de beveiliging van clouddiensten te hebben opgezet en onderhouden.
CLD_B.07IT-functionaliteitenIT-functionaliteiten behoren te worden verleend vanuit een robuuste en beveiligde systeemketen van de CSP naar de CSC.
CLD_B.08BedrijfscontinuïteitsmanagementDe CSP behoort haar BCM-proces adequaat te hebben georganiseerd, waarbij de volgende aspecten zijn geadresseerd: verantwoordelijkheid voor BCM, beleid en procedures, bedrijfscontinuïteitsplanning, verificatie en updaten en computercentra.
CLD_B.09Privacy en bescherming persoonsgegevens clouddienstenDe CSP behoort, ter bescherming van bedrijfs- en persoonlijke data, beveiligingsmaatregelen te hebben getroffen vanuit verschillende dimensies: beveiligingsaspecten en stadia, toegang en privacy, classificatie/labelen, eigenaarschap en locatie.
CLD_B.10Beveiligingsorganisatie clouddienstenDe CSP behoort een beveiligingsfunctie te hebben benoemd en een beveiligingsorganisatie te hebben ingericht, waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld.
CLD_B.11ClouddienstenarchitectuurDe CSP heeft een actuele architectuur vastgelegd die voorziet in een raamwerk voor de onderlinge samenhang en afhankelijkheden van de IT-functionaliteiten.

Uitvoering (principes)

export principes Uitvoering als csv

IDPrincipeCriterium
CLD_U.01Standaarden voor clouddienstenDe CSP past aantoonbaar relevante, nationale standaarden en internationale standaarden toe voor de opzet en exploitatie van de diensten en de interactie met de CSC.
CLD_U.02Risico-assessmentDe CSP behoort een risico-assessment uit te voeren, bestaande uit een risico-analyse en risico-evaluatie met de criteria en de doelstelling voor clouddiensten van de CSP.
CLD_U.03BedrijfscontinuïteitsservicesInformatie verwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan continuïteitseisen te voldoen.
CLD_U.04Herstelfunctie voor data en clouddienstenDe herstelfunctie van de data en clouddiensten, gericht op ondersteuning van bedrijfsprocessen, behoort te worden gefaciliteerd met infrastructuur en IT-diensten, die robuust zijn en periodiek worden getest.
CLD_U.05DataprotectieData (‘op transport’, ‘in verwerking’ en ‘in rust’) met de classificatie BBN2 of hoger behoort te worden beschermd met cryptografische maatregelen en te voldoen aan Nederlandse wetgeving.
CLD_U.06Dataretentie en gegevensvernietigingGearchiveerde data behoort gedurende de overeengekomen bewaartermijn, technologie-onafhankelijk, raadpleegbaar, onveranderbaar en integer te worden opgeslagen en op aanwijzing van de CSC/data-eigenaar te kunnen worden vernietigd.
CLD_U.07DatascheidingCSC-gegevens behoren tijdens transport, bewerking en opslag duurzaam geïsoleerd te zijn van beheerfuncties en data van en andere dienstverlening aan andere CSC’s, die de CSP in beheer heeft.
CLD_U.08Scheiding dienstverleningDe cloud-infrastructuur is zodanig ingericht dat de dienstverlening aan gebruikers van informatiediensten zijn gescheiden.
CLD_U.09Malwareprotectie clouddienstenTer bescherming tegen malware behoren beheersmaatregelen te worden geïmplementeerd voor detectie, preventie en herstel in combinatie met een passend bewustzijn van de gebruikers.
CLD_U.10Toegang IT-diensten en dataGebruikers behoren alleen toegang te krijgen tot de IT-diensten en data waarvoor zij specifiek bevoegd zijn.
CLD_U.11CryptoservicesGevoelige data van CSC’s behoort conform het overeengekomen beleid inzake cryptografische maatregelen tijdens transport via netwerken en bij opslag bij CSP te zijn versleuteld.
CLD_U.12KoppelvlakkenDe onderlinge netwerkconnecties (koppelvlakken) in de keten van de CSC naar de CSP behoren te worden bewaakt en beheerst om de risico’s van datalekken te beperken.
CLD_U.13Service-orkestratieService-orkestratie biedt coördinatie, aggregatie en samenstelling van de servicecomponenten van de cloud-service die aan de CSC wordt geleverd.
CLD_U.14Interoperabiliteit en portabiliteitCloud-services zijn bruikbaar (interoperabiliteit) op verschillende IT-platforms en kunnen met standaarden verschillende IT-platforms met elkaar verbinden en data overdragen (portabiliteit) naar andere CSP’s.
CLD_U.15Logging en monitoring clouddienstenLogbestanden waarin gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiliging gebeurtenissen worden geregistreerd, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.
CLD_U.16ClouddienstenarchitectuurDe clouddienstenarchitectuur specificeert de samenhang en beveiliging van de services en de interconnectie tussen de CSC en de CSP en biedt transparantie en overzicht van randvoorwaardelijke omgevingsparameters, voor zowel de opzet, de levering en de portabiliteit van CSC-data.
CLD_U.17Multi-tenantarchitectuurBij multi-tenancy wordt de CSC-data binnen clouddiensten, die door meerdere CSC’s worden afgenomen, in rust versleuteld en gescheiden verwerkt op gehardende (virtuele) machines.

Control (principes)

export principes Control als csv

IDPrincipeCriterium
CLD_C.01Servicemanagementbeleid en evaluatierichtlijnenDe CSP heeft voor clouddiensten een servicemanagementbeleid geformuleerd met daarin richtlijnen voor de beheersingsprocessen, controleactiviteiten en rapportages.
CLD_C.02Risico-controlRisicomanagement en het risico-assessmentproces behoren continu te worden gemonitord en gereviewd en zo nodig te worden verbeterd.
CLD_C.03Compliance en assuranceDe CSP behoort regelmatig de naleving van de cloud-beveiligingsovereenkomsten op compliancy te beoordelen, jaarlijks een assurance-verklaring aan de CSC uit te brengen en te zorgen voor onderlinge aansluiting van de resultaten uit deze twee exercities.
CLD_C.04Technische kwetsbaarhedenbeheer clouddienstenInformatie over technische kwetsbaarheden van gebruikte informatiesystemen behoort tijdig te worden verkregen; de blootstelling aan dergelijke kwetsbaarheden dienen te worden geëvalueerd en passende maatregelen dienen te worden genomen om het risico dat ermee samenhangt aan te pakken.
CLD_C.05Security MonitoringDe performance van de informatiebeveiliging van de cloud-omgeving behoort regelmatig te worden gemonitord en hierover behoort tijdig te worden gerapporteerd aan de verschillende stakeholders.
CLD_C.06Beheerorganisatie clouddienstenDe CSP heeft een beheersorganisatie ingericht waarin de processtructuur en de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.

Onderliggende normen

ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.

Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.

Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.

In deze tabel staan alle normen uit BIO Thema-uitwerking Clouddiensten. Van links tot rechts zie je het unieke ID van de norm, welke conformiteitsindicator van het bovenliggende principe de norm realiseert, de tekst van de norm en een link naar de aparte pagina van die norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv-export normen en in uitgebreide tabel.

Beleid (normen)

export normen Beleid als csv

IDtrefwoordStellingNorm
CLD_B.01.01Wettelijke, statutaire en regelgevende eisenDe CSP informeert de CSC welke wet- en regelgeving van toepassing is op de clouddiensten.Informeren welke wet- en regelgeving van toepassing is op clouddiensten
CLD_B.01.02Wettelijke, statutaire en regelgevende eisenDe CSP identificeert haar eigen relevante wettelijke eisen (zoals AVG-eisen en encryptietoepassing) om persoonsgegevens te kunnen beschermen.Selecteren relevante wettelijke eisen ter bescherming van persoonsgegevens
CLD_B.01.03Wettelijke, statutaire en regelgevende eisenDe voor de CSC van toepassing zijnde vereisten die voortvloeien uit wet- en regelgeving zijn geïdentificeerd, vooral waar het gaat om geografische gedistribueerde verwerkingen, opslag en communicatie waarvoor verschillende wetgeving bestaat, zoals maatregelen die voortvloeien uit de AVG.Identificeren vereisten die van toepassing zijn
CLD_B.01.04Wettelijke, statutaire en regelgevende eisenDe CSP voorziet de CSC van zekerheid (op bewijs gebaseerde compliancy-rapportage) over (het voldoen aan) de van toepassing zijnde wettelijke eisen en contractuele vereisten.Voorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereisten
CLD_B.01.05Contractuele eisenVoor clouddiensten zijn, om aan de wettelijke en contractuele eisen te kunnen voldoen, specifieke maatregelen getroffen en verantwoordelijkheden benoemd.Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisen
CLD_B.01.06AanpakDe CSP heeft, om aan de eisen van de CSC te kunnen voldoen, alle wet- en regelgeving die op haar van toepassing is op de clouddienstverlening vastgesteld.Vaststellen alle van toepassing zijnde wet- en regelgeving
CLD_B.02.01CloudbeveiligingsstrategieDe cloud-beveiligingsstrategie van de CSP geeft aan op welke wijze zij de bedrijfsdoelstellingen van CSC(’s) ondersteunt door onder andere te beschrijven:
  • een evenwichtige set van beveiligingsmaatregelen, waarin aandacht wordt besteed aan risicomanagement;
  • hoe (functioneel) cloud-beveiliging de weerbaarheid tegen hoge impactincidenten bewerkstelligt.
Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteunt
CLD_B.02.02CloudbeveiligingsstrategieDe cloud-beveiligingsstrategie van de CSP:
  • geeft onder andere aan hoe zij de CSC’s tegen bedreigingen beschermt;
  • besteedt aandacht aan de huidige beveiligingscontext van de CSP, inclusief vaardigheden, capaciteiten en informatiebeveiligingsfunctie.
  • Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontext
    CLD_B.02.03SamenhangtDe samenhang van beveiligingsmaatregelen van de CSP ondersteunt het behalen van de bedrijfsdoelen van de CSC. Hierin wordt aangegeven:
  • in welke mate de cloud-beveiligingsstrategie van de CSP in lijn is met de organisatiebrede doelstellingen van de CSC;
  • hoe de cloud-beveiligingsgovernance van de CSC wordt ondersteund door het management van de CSP;
  • dat de clouddiensten gedocumenteerd zijn en regelmatig worden gereviewd.
  • Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelen
    CLD_B.03.01BepalingenDe CSC legt in de overeenkomst een aantal bepalingen over de exit-regeling vast, zoals:
  • De exit-bepaling geldt zowel bij het einde van de overeenkomst als om valide redenen aangedragen door de CSC (zie condities).
  • De overeenkomst (en eventuele verwerkersovereenkomst) duurt voort totdat de exit-regeling helemaal is uitgevoerd.
  • De opzegtermijn geeft voldoende tijd om te kunnen migreren.
  • Data en configuratiegegevens (indien relevant) mogen pas na succesvolle migratie verwijderd worden.
  • Door een onafhankelijke partij wordt gecontroleerd en vastgesteld dat alle data is gemigreerd.
  • De exit-regeling wordt aangepast/anders ingevuld als de software die gebruikt wordt voor de clouddienst is gewijzigd.
  • Vastleggen bepalingen over exit-regeling
    CLD_B.03.02ConditiesDe CSC kan buiten het verstrijken van de contractperiode besluiten over te gaan tot exit als sprake is van aspecten die gerelateerd zijn aan:
  • Contracten:
    • niet beschikbaarheid zijn van afgesproken performance;
    • eenzijdige wijziging door de CSP van de SLA;
    • prijsverhoging.
  • Geleverde prestatie/ondersteuning:
    • onvoldoende compensatie voor storingen;
    • niet leveren van de afgesproken beschikbaarheid of performance;
    • gebrekkige support en/of ondersteuning.
  • Clouddienst(en):
    • nieuwe eigenaar of nieuwe strategie;
    • end-of-life van de clouddienst(en);
    • achterwege blijvende features.
  • Overgaan tot exit buiten verstrijken contractperiode
    CLD_B.04.01CloudbeveiligingsbeleidHet cloud-beveiligingsbeleid bevat:
  • Organische georiënteerde maatregelen:
    • informatiebeveiligingsvereisten die van toepassing zijn bij het ontwerp en de implementatie van de cloud-services;
    • communicatie met CSC in relatie tot en tijdens wijzigingen;
    • communicatie van beveiligingsinbreuken en het delen van informatie;
    • richtlijnen voor de ondersteuning van (forensische) onderzoeken;
    • compliancy-maatregelen op wet- en regelgeving.
  • Technisch georiënteerde maatregelen:
    • multi-tenancy en isolatie van CSC;
    • toegangsprocedures, bijvoorbeeld sterke authenticatie voor toegang tot de cloud-services;
    • toegang tot en protectie van data van de CSC;
    • levenscyclusmanagement van CSC-accounts;
    • risico’s gerelateerd aan niet geautoriseerde insiders;
    • virtualisatie beveiliging;
    • beveiligingsarchitectuur en -maatregelen voor het beschermen van data, applicaties en infrastructuur.
  • Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid
    CLD_B.05.01SysteembeschrijvingDe systeembeschrijving bevat de volgende aspecten:
  • type en scope van de clouddiensten weergegeven met SLA’s;
  • principes, procedures en maatregelen om ontwikkeling en operationalisering weer te geven;
  • beschrijving van de infrastructuurcomponenten die deel uitmaken van het ontwikkelen en operationaliseren van de clouddiensten;
  • hoe met beveiligingsincidenten wordt omgegaan;
  • rollen en verantwoordelijkheden van de CSP en de CSC, inclusief de verplichting om samen te werken;
  • (welke) onderdelen van de clouddiensten en/of functies toegekend of uitbesteed zijn aan sub-contractanten.
  • Bevatten diverse aspecten in systeembeschrijving
    CLD_B.05.02JurisdictieDe SLA of systeembeschrijving voorziet in een specificatie van jurisdictie over dataopslag, verwerking en back-up-locatie, ook als deze (of delen hiervan) uitbesteed is aan subcontractors.SLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatie
    CLD_B.05.03OnderzoeksmogelijkhedenDe SLA of systeembeschrijving voorziet in een specificatie voor publicatievereisten en onderzoeksmogelijkheden.SLA/systeembeschrijving bevat specificatie voor publicatie-vereisten en onderzoeksmogelijkheden
    CLD_B.05.04CertificatenDe SLA of systeembeschrijving voorziet in een specificatie over het beschikbaar zijn van valide certificaten.SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificaten
    CLD_B.06.01VerantwoordelijkhedenDe verantwoordelijkheden van de CSP zijn onder andere het:
  • ontwikkelen van het risicomanagementproces voor informatiebeveiliging dat toegespitst is op de omgeving van de CSP;
  • identificeren van analyses van de stakeholders;
  • definiëren van de rollen en verantwoordelijkheden van in- en externe partijen;
  • vaststellen van de vereiste relaties tussen de eigen organisatie en stakeholders en de relatie met de hoog niveau risicomanagementfunctie en met relevante projecten of activiteiten.
  • Hebben CSP-verantwoordelijkheden
    CLD_B.06.02VerantwoordelijkhedenDe organisatie van het risicomanagementproces is goedgekeurd door managers van de CSP.Goedkeuren organisatie van risicomanagementproces
    CLD_B.06.03RisicomanagementprocesHet risicomanagementproces is systematisch beschreven met aandacht voor beleid, procedures en richtlijnen voor activiteiten over communiceren, adviseren, vaststellen van de context van onderzoeken, behandelen, monitoren, reviewen, vastleggen en rapporteren van risico’s.Beschrijven risicomanagementproces
    CLD_B.07.01IT-functionaliteitenVoor de beveiliging van IT-functionaliteiten (verwerking, opslag, transport en opvraag van informatie) zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.Treffen maatregelen voor beveiliging IT-functionaliteiten
    CLD_B.07.02IT-functionaliteitenTechnische beveiligingsmaatregelen in de vorm van sterke toegangsbeveiliging, encryptie en data-analysemethoden zijn getroffen tegen bescherming van de infrastructuur.Treffen technische beveiligingsmaatregelen tegen bescherming van infrastructuur
    CLD_B.07.03IT-functionaliteitenDe IT-infrastructuur wordt, om veilige clouddiensten te kunnen verlenen, continue bewaakt en beheerst ter bescherming tegen bedreigingen.Bewaken en beheersen IT-infrastructuur
    CLD_B.07.04Robuuste en beveiligde systeemketenDe infrastructuur wordt ingericht met betrouwbare hardware- en softwarecomponenten.Inrichten infrastructuur met betrouwbare hardware- en software-componenten
    CLD_B.07.05Robuuste en beveiligde systeemketenEr zijn gedocumenteerde standaarden en procedures om geavanceerde cyberaanvallen het hoofd te bieden.Hebben van gedocumenteerde standaarden en procedures om hoofd te bieden tegen cyberaanvallen
    CLD_B.08.01Verantwoordelijkheid voor BCMDe CSP heeft een proceseigenaar voor het BCM-proces benoemd en hem verantwoordelijk gegeven voor het vormgeven van BCM en compliancy met het uitgestippeld beleid.Benoemen proceseigenaar voor BCM-proces en geven verantwoordelijkheden
    CLD_B.08.02Verantwoordelijkheid voor BCMDe verantwoordelijke voor BCM stelt zeker dat adequate resources beschikbaar zijn voor het uitvoeren van een effectief BCM-proces.Zeker stellen adequate resources voor uitvoeren van BCM-proces
    CLD_B.08.03Verantwoordelijkheid voor BCMHet management van de CSP committeert zich aan de vastgestelde BCM-vereisten.Committeren aan vastgestelde BCM-vereisten
    CLD_B.08.04Verantwoordelijkheid voor BCMHet BCM-beleid en beleid voor business impact analyses zijn vastgesteld en gecommuniceerd.Vaststellen en communiceren BCM- en BIA-beleid
    CLD_B.08.05Beleid en proceduresHet beleid en de procedures voor het vaststellen van de impact van storingen van cloud-services zijn gedocumenteerd en gecommuniceerd, waarbij aandacht wordt besteed aan:
  • beschikbaarheid van data en functionaliteit in relatie tot vendor lock-in en transitie naar andere CSP of exit-strategie (voor de mogelijke op risicoanalyse gebaseerde scenario’s);
  • identificatie van kritische producten en services;
  • identificaties van afhankelijkheden, processen, en business partners en derde partijen;
  • consequenties van verstoringen;
  • schattingen van vereiste resources voor herstel.
  • Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservices
    CLD_B.08.06BedrijfscontinuïteitsplanningDe CSP beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit waarin onder andere aandacht wordt besteed aan:
  • definiëren van de scope waarbij rekening wordt gehouden met de afhankelijkheden;
  • toegankelijkheid van deze plannen voor verantwoordelijke functionarissen;
  • toewijzen van een verantwoordelijke voor de review, update en goedkeuring;
  • definiëren van communicatiekanalen;
  • herstelprocedures;
  • methode voor het implementeren van het BCM-plan;
  • continu verbeteringsproces van het BCM-plan;
  • relaties met beveiligingsincidenten.
  • Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteit
    CLD_B.08.07Verificatie en updatenDe business impact analyses en continuïteitsplannen worden geverifieerd, geactualiseerd en regelmatig getest.Verifiëren, actualiseren en testen business impact analyses en continuïteitsplannen
    CLD_B.08.08Verificatie en updatenBij het testen wordt aandacht besteed aan de beïnvloeding van CSC’s (tenants) en derde partijen.Besteden aandacht aan beïnvloeden van CSC’s (tenants) en derde partijen bij testen
    CLD_B.08.09ComputercentraDe voorzieningen van de computercentra zijn veilig gesteld en worden gemonitord (bewaakt), onderhouden en regelmatig getest.Veiligstellen, monitoren, onderhouden en testen computercentra-voorzieningen
    CLD_B.09.01Beveiligingsaspecten en stadiaVoor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.Treffen maatregelen voor opslag, verwerking en transport van data
    CLD_B.09.02Toegang en privacyTer bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, DPIA, sterke toegangsbeveiliging en encryptie.Treffen maatregelen zoals data-analyse, DPIA, sterke toegangsbeveiliging en encryptie
    CLD_B.09.03Classificatie/labelenAan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op het datatype, de waarde, de gevoeligheid en het kritische gehalte voor de organisatie.Toekennen classificatie aan data en middelen waarin/waarop zich data bevindt
    CLD_B.09.04Classificatie/labelenData gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data.Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerken
    CLD_B.09.05Classificatie/labelenDe CSP past een uniforme classificatie toe voor informatie en middelen die relevant is voor de ontwikkeling en het aanbieden van clouddiensten.Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddiensten
    CLD_B.09.06EigenaarschapHet eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld.Vaststellen eigenaarschap van middelen die deel uitmaken van clouddiensten
    CLD_B.09.07EigenaarschapIn de overeenkomst tussen de CSP en de CSC is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten.Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienst
    CLD_B.09.08LocatieDe CSP specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen.Specificeren en documenteren opslag op welke locatie data
    CLD_B.10.01BeveiligingsfunctieDe beveiligingsfunctie, die geleid wordt door een Chief Security Officer (CSO), ondersteunt de CSP voor het bewerkstelligen en promoten van het cloud-beveiligingsbeleid door het:
  • ontwikkelen en onderhouden van een beveiligingsstrategie en het -beleid;
  • ontwikkelen van beveiligingsstandaarden, procedures en richtlijnen;
  • definiëren van een set beveiligingsdiensten;
  • coördineren van beveiliging door de gehele organisatie;
  • monitoren van de effectiviteit van de clouddienstreglementen;
  • bieden van overzicht van en het doen van onderzoeken naar beveiligingsdiensten.
  • Bewerkstelligen en promoten cloudbeveiligingsbeleid
    CLD_B.10.02BeveiligingsfunctieDe beveiligingsfunctie voorziet in proactieve ondersteuning van:
  • activiteiten van cloud-risicoassessment;
  • classificeren van informatie en systemen;
  • gebruik van encryptie;
  • beveiligen van gerelateerde projecten;
  • ontwikkelen van bedrijfscontinuïteitsprogramma en beveiligingsaudits.
  • Voorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelen
    CLD_B.10.03Organisatorische positieDe CSP heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegeven.Geven positie van informatiebeveiligingsorganisatie binnen organisatie
    CLD_B.10.04Taken, verantwoordelijkheden en bevoegdhedenDe CSP heeft de verantwoordelijkheden bij informatiebeveiliging voor het definiëren, coördineren en evalueren beschreven en toegewezen aan specifieke functionarissen.Benoemen functionarissen voor informatiebeveiliging en onderlinge relaties inzichtelijk maken
    CLD_B.10.05Taken, verantwoordelijkheden en bevoegdhedenDe taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix.Toewijzen verantwoordelijkheden voor definiëren, coördineren en evalueren van informatiebeveiliging
    CLD_B.10.06FunctionarissenDe belangrijkste functionarissen (stakeholders) voor informatiebeveiliging zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.Vastleggen taken, verantwoordelijkheden en bevoegdheden in autorisatiematrix
    CLD_B.10.07RapportagelijnenDe verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld.Vaststellen verantwoordings- en rapportagelijnen tussen betrokken functionarissen
    CLD_B.10.08RapportagelijnenHet type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.Vaststellen type, frequentie en eisen voor inhoudelijke rapportages
    CLD_B.11.01RaamwerkHet raamwerk bevat de volgende aspecten:
  • beveiligingsbeleid van de CSP met principes en wet- en regelgeving;
  • functioneel; type en scope van de clouddiensten;
  • zoneringsmodel voor scheiding tussen CSC’s;
  • trust framework (afspraken en maatregelen ter bevordering van de vertrouwensrelatie);
  • SLA’s en valide certificaten;
  • risicomanagement.
  • Bevatten diverse aspecten voor raamwerk
    CLD_B.11.02Samenhang en afhankelijkhedenDe onderlinge samenhang tussen IT-functionaliteiten die bij het aanbieden, gebruiken en onderhouden van clouddiensten zijn betrokken, benoemd en beschreven.Beschrijven van de samenhang tussen IT-functionaliteiten bij clouddienst-aanbieding, -gebruik en -onderhoud

    Uitvoering (normen)

    export normen Uitvoering als csv

    IDtrefwoordStellingNorm
    CLD_U.01.01Nationale standaardenDe CSP maakt haar dienstverlening transparant, zodat de CSC aantoonbaar aan de voor haar verplichte BIO en Pas-toe-of-leg-uit standaarden kan voldoen.Maken transparante dienstverlening
    CLD_U.01.02Internationale standaardenDe CSP treft beveiligingsmaatregelen gebaseerd op internationale standaarden, zoals: Treffen beveiligingsmaatregelen op basis van internationale standaarden
    CLD_U.02.01Risico-analyseDe risico’s op de middelen die binnen de scope van clouddiensten ressorteren, worden geïdentificeerd, op waarde geschat (gekwantificeerd of gekwalificeerd) en beschreven met risico-evaluatiecriteria en -doelstellingen van de CSP.Op waarde schatten en beschrijven van risico’s rond middelen vallend binnen clouddienstenscope
    CLD_U.02.02Risico-evaluatieDe geïdentificeerde risico’s worden geëvalueerd met risico-acceptatiecriteria.Evalueren risico’s op basis van risico-acceptatiecriteria
    CLD_U.03.01RedundantieDe overeengekomen continuïteit wordt gewaarborgd door voldoende logisch- of fysiek meervoudig uitgevoerde systeemfuncties.Waarborgen continuïteit door voldoende logische of fysieke meervoudig uitgevoerde systeemfuncties
    CLD_U.03.02ContinuïteitseisenDe met de CSC-organisatie overeengekomen continuïteitseisen voor cloud-services wordt gewaarborgd door specifieke in de systeemarchitectuur beschreven maatregelen.Waarborgen van continuïteitseisen door specifieke in systeemarchitectuur beschreven maatregelen
    CLD_U.04.01HerstelfunctieDe data en clouddiensten worden in het geval van calamiteiten binnen de overeengekomen periode en maximale dataverlies hersteld en aan de CSC beschikbaar gesteld.Herstellen data en clouddiensten bij calamiteiten en beschikbaar stellen
    CLD_U.04.02HerstelfunctieHet continue proces van herstelbaar beveiligen van data wordt gemonitord.Monitoren proces van herstelbaar beveiligen van data
    CLD_U.04.03GetestHet toereikend functioneren van de herstelfuncties wordt periodiek getest door gekwalificeerd personeel en de resultaten daarvan worden gedeeld met de CSC.Testen functioneren van herstelfuncties en resultaten daarvan delen
    CLD_U.05.01Cryptografische maatregelenGegevenstransport wordt naar de laatste stand der techniek beveiligd met cryptografie (conform Forum Standaardisatie), waarbij het sleutelbeheer zo mogelijk door de CSC zelf wordt uitgevoerd.‘State of the art’ beveiligen gegevenstransport met cryptografie, met zelf uitgevoerd sleutelbeheer
    CLD_U.05.02Cryptografische maatregelenDe binnen de clouddienst opgeslagen gegevens worden naar de laatste stand der techniek beveiligd met encryptie en met een tenminste voor het doel toereikende sleutellengte, waarbij het sleutelbeheer zo mogelijk niet als clouddienst wordt afgenomen en door de CSC zelf wordt uitgevoerd.‘State of the art’ binnen clouddienst opgeslagen gegevens beveiligen met encryptie
    CLD_U.06.01BewaartermijnDe gegarandeerde en met de CSP overeengekomen opslagduur is contractueel vastgelegd en voldoet aan de Archiefwet.Vastleggen gegarandeerde overeengekomen opslagduur en voldoen aan Archiefwet
    CLD_U.06.02Technologie-onafhankelijk raadpleegbaarGegevens zijn onafhankelijk van de door de CSP toegepaste technologie raadpleegbaar tijdens de gehele bewaartermijn.Raadplegen gegevens, onafhankelijk van technologie gedurende bewaartermijn
    CLD_U.06.03OnveranderbaarGegevens worden zo mogelijk gearchiveerd met Write Once Read Many (WORM)-technologie, waarmee de integriteit van de data wordt gegarandeerd.Archiveren gegevens met behulp van WORM-technologie
    CLD_U.06.04VernietigdVoorafgaand aan het voor onderhoudsdoeleinden wijzigen van opslagmedia, wordt de data van de CSC, inclusief de back-up van gegevens en metadata veilig gewist of vernietigd.Wissen of vernietigen CSC-data voorafgaand aan voor onderhoudsdoeleinden wijzigen van opslagmedia
    CLD_U.06.05VernietigdBij het beëindigen van de contractrelatie wordt de data van de CSC, inclusief de back-up van gegevens en de metadata veilig gewist, om te voorkomen dat de CSC-gegevens naderhand door de CSP kunnen worden hersteld, bijvoorbeeld met forensische hulpmiddelen.Wissen CSC-data bij beëindigen van contractrelatie
    CLD_U.07.01GeïsoleerdPermanente isolatie van gegevens wordt gerealiseerd binnen een multi-tenantarchitectuur. Patches en aanpassingen van applicaties en infrastructuur worden op een gecontroleerde wijze gerealiseerd voor alle clouddiensten die de CSC afneemt.Permanente isolatie van gegevens binnen een multi-tenant architectuur
    CLD_U.07.02GeïsoleerdIsolatie van de CSC-gegevens wordt gegarandeerd door deze onder alle bedrijfsomstandigheden minimaal logisch te scheiden van de data van andere CSC’s.Garanderen isolatie van CSC-gegevens door logische scheiding van andere CSC’s-data
    CLD_U.07.03BeheerfunctiesDe bevoegdheden voor het inzien of wijzigen van CSC-data en/of van encryptiesleutels door beheerfuncties en beheerders worden gecontroleerd verleend en het gebruik van deze rechten wordt gelogd.Verlenen bevoegdheden voor inzien of wijzigen en/of encryptiesleutels plus loggen rechtengebruik
    CLD_U.08.01GescheidenDe CSP realiseert de volgende scheiding van clouddienstverlening:
  • onderlinge scheiding van de CSC’s in een multi-tenant-omgeving;
  • scheiding tussen de afgenomen cloud-service en de interne informatievoorziening van de CSP;
  • de CSP maakt het mogelijk om de beoogde scheiding van clouddiensten te verifiëren.
  • Realiseren diverse scheidingen van clouddienstverlening
    CLD_U.09.01BeheersmaatregelenDe CSP specificeert, als onderdeel van de overeenkomst, welke maatregelen (voor onder andere malware-protectie) op welke positie in de informatieketen van de CSC en de CSP moeten worden genomen.Specificeren welke maatregelen op welke positie in informatieketen moeten worden genomen
    CLD_U.09.02BeheersmaatregelenDe CSP heeft de voor ontwikkeling en exploitatie van clouddiensten gebruikte IT-systemen en netwerkperimeters waarvoor zij verantwoordelijk is, uitgerust met tools ter bescherming en verwijdering van malware.Uitrusten voor ontwikkeling en exploitatie van clouddiensten gebruikte IT-systemen en netwerkperimeter
    CLD_U.09.03Detectie, preventie en herstelDe malware-bescherming wordt op verschillende omgevingen uitgevoerd, zoals op mailservers, (desktop)computers en bij de toegang tot het netwerk van de organisatie. De scan op malware omvat onder andere:
  • alle bestanden die via netwerken of via elke vorm van opslagmedium zijn ontvangen, nog voor het gebruik;
  • alle bijlagen en downloads nog voor het gebruik;
  • virtuele machines;
  • netwerkverkeer.
  • Uitvoeren malware-bescherming op verschillende omgevingen en bij toegang tot netwerk van organisatie
    CLD_U.10.01GebruikersDe CSP biedt de CSC uitsluitend toegang tot services, IT-diensten en data waarvoor zij specifiek bevoegd is, waarbij:
  • Technische maatregelen voorkomen dat gebruikers en beheerders, toegang hebben tot services, IT-diensten en data buiten datgene wat formeel is toegestaan.
  • Gebruikers met nood-toegangsrechten (in geval van calamiteiten, wanneer acties niet door bevoegde beheerders kunnen worden uitgevoerd), zijn gedocumenteerd, door het management geaccordeerd en wordt uitgevoerd met functiescheiding. Noodtoegang is geactiveerd zolang als nodig is voor de corresponderende taak/taken.
  • Bieden toegang tot bevoegde services, IT-diensten en data
    CLD_U.10.02GebruikersOnder verantwoordelijkheid van de CSP wordt aan beheerders:
  • toegang verleend tot data met het least privilege-principe;
  • toegang verleend tot data met het need-to-know principe;
  • toegang verleend met multi-factorauthenticatie;
  • toegang verleend tot data en applicatieve functies via technische maatregelen.
  • Verlenen toegang aan beheerders
    CLD_U.10.03GebruikersAlleen gebruikers met geauthenticeerde apparatuur kunnen toegang krijgen tot IT-diensten en data.Krijgen toegang tot IT-diensten en data
    CLD_U.10.04BevoegdOnder de verantwoordelijkheid van de CSP worden bevoegdheden (systeemautorisaties) voor gebruikers toegekend via formele procedures.Toekennen bevoegdheden voor gebruikers via formele procedures
    CLD_U.10.05BevoegdToegang tot IT-diensten en data is beperkt door technische maatregelen en is geïmplementeerd, bijvoorbeeld met het rollen en rechtenconcept.Beperken toegang tot IT-diensten en data door technische maatregelen en implementeren
    CLD_U.11.01BeleidIn het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
  • wanneer cryptografie ingezet wordt;
  • wie verantwoordelijk is voor de implementatie van cryptologie;
  • wie verantwoordelijk is voor het sleutelbeheer;
  • welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast;
  • de wijze waarop het beschermingsniveau vastgesteld wordt;
  • bij communicatie tussen organisaties wordt het beleid onderling vastgesteld.
  • Uitwerken cryptografiebeleid
    CLD_U.11.02Cryptografische maatregelenIn geval van PKIoverheid-certificaten: hanteer de PKIoverheid-eisen ten aanzien van het sleutelbeheer. In overige situaties: hanteer de standaard ISO 11770 voor het beheer van cryptografische sleutels.Hanteren PKI-overheidseisen en ISO 11770 voor sleutelbeheer
    CLD_U.11.03VersleuteldGevoelige data (op transport en in rust) is altijd versleuteld, waarbij private sleutels in beheer zijn bij de CSC. Het gebruik van een private sleutel door de CSP is gebaseerd op een gecontroleerde procedure en moet gezamenlijk worden overeengekomen met de CSC-organisatie.Versleutelen gevoelige data en private-sleutelgebruik baseren op gecontroleerde overeengekomen procedure
    CLD_U.12.01NetwerkconnectiesIn koppelpunten met externe of onvertrouwde zones zijn maatregelen getroffen om mogelijke aanvallen die de beschikbaarheid van de informatievoorziening negatief beïnvloeden (bijvoorbeeld Distributed Denial of Service attacks (DDos)-aanvallen) te signaleren en hierop te reageren.Treffen maatregelen in koppelpunten met externe of onvertrouwde zones
    CLD_U.12.02NetwerkconnectiesFysieke en gevirtualiseerde netwerkcomponenten zijn zodanig ontworpen en geconfigureerd dat netwerkconnecties tussen vertrouwde en onvertrouwde netwerken worden beperkt en gemonitord (bewaakt).Ontwerpen en configureren netwerkcomponenten om netwerkconnecties te beperken en te monitoren
    CLD_U.12.03NetwerkconnectiesBeheeractiviteiten van de CSP zijn strikt gescheiden van de data van de CSC.Scheiden CSP-beheeractiviteiten en CSC-data
    CLD_U.12.04NetwerkconnectiesDataverkeer voor CSC’s zijn in gezamenlijk gebruikte netwerkomgevingen gescheiden volgens een gedocumenteerd concept voor de op netwerkniveau (logische) segmentatie van CSC’s, om zo de integriteit en vertrouwelijkheid van de verzonden gegevens te garanderen.Scheiden dataverkeer in gezamenlijk gebruikte netwerkomgevingen
    CLD_U.12.05BewaaktHet dataverkeer dat de CSP binnenkomt of uitgaat wordt, in relatie tot de aard van de te beschermen gegevens/informatiesystemen, bewaakt en geanalyseerd op kwaadaardige elementen middels detectievoorzieningen.Bewaken en analyseren dataverkeer op kwaadaardige elementen
    CLD_U.12.06BewaaktDe CSP heeft Intrusion Detection Prevention (IDP) en Intrusion Detection System (IDS) geïntegreerd in een allesomvattend Security Information and Event Management (SIEM), zodat beveiligingsgebeurtenissen en onbekende apparatuur vanuit de benodigde technische maatregelen worden opgemerkt en correctieve maatregelen kunnen worden genomen.Integreren Intrusion Detection Prevention en Intrusion Detection System in SIEM
    CLD_U.12.07BeheerstBij ontdekte nieuwe dreigingen worden deze, rekening houdend met geldende juridische kaders, verplicht gedeeld binnen de overheid, waaronder met het NCSC (alleen voor rijksoverheidsorganisaties) of de sectorale Computer Emergency Response Team (CERT), bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing).Delen nieuwe dreigingen binnen overheid
    CLD_U.13.01CoördinatieCloud-orkestratietechnologie functioneert met heterogene systemen en mogelijk wereldwijde cloud-implementatie (op verschillende geografische locaties en met verschillende CSP’s).Functioneren orkestratietechnologie met heterogene systemen en mogelijk wereldwijde cloud-implementatie
    CLD_U.13.02Service-componentenDe functionele samenhang van de service-componenten is beschreven.Beschrijven functionele samenhang van service-componenten
    CLD_U.13.03Service-componentenVoor orkestratie van cloud-services is de volgende informatie benodigd:
  • de CSC-identiteit;
  • de bedrijfsrelatie van de CSC binnen het cloud-netwerk;
  • het IP-adres van de CSC.
  • Zorgen voor benodigde informatie voor orkestratie van cloudservices
    CLD_U.14.01InteroperabiliteitOm de interoperabiliteit van cloud-services te garanderen, zijn gegevens beschikbaar conform erkende industrie-standaarden en gedocumenteerde invoer- en uitvoerinterfaces.Hebben beschikbare gegevens om interoperabiliteit van cloudservices te garanderen
    CLD_U.14.02PortabiliteitOm de portabiliteit van de data te garanderen, maakt de CSP gebruik van beveiligde netwerkprotocollen voor de import en export van data waarmee de integriteit en vertrouwelijkheid wordt gegarandeerd.Gebruiken beveiligde netwerkprotocollen voor import en export van data
    CLD_U.15.01Gebeurtenissen geregistreerdHet overtreden van de beleidsregels wordt door de CSP en de CSC vastgelegd.Vastleggen beleidsregel-overtreding
    CLD_U.15.02Gebeurtenissen geregistreerdDe SIEM en/of Security Operation Centre (SOC) hebben heldere regels over wanneer een incident moet worden gerapporteerd aan het verantwoordelijk management.Hebben SIEM- en/of SOC-regels over te rapporteren incident
    CLD_U.15.03Gebeurtenissen geregistreerdDe CSP hanteert een lijst van alle activa die kritisch zijn in termen van logging en monitoring en beoordeelt deze lijst regelmatig op correctheid.Hanteren en beoordelen lijst van alle kritische activa
    CLD_U.15.04Gebeurtenissen geregistreerdAan logboeken en bewaking worden strenge eisen gesteld. Voor de kritieke componenten zijn geavanceerde beveiligingen voor logboeken en bewaking gedefinieerd.Stellen eisen aan logboeken en bewaking
    CLD_U.15.05Gebeurtenissen geregistreerdDe toegang tot en het beheer van de loggings- en monitoringsfunctionaliteit is beperkt tot geselecteerde en geautoriseerde medewerkers van de CSP.Beperken toegang tot en beheer van loggings- en monitoringsfunctionaliteit tot CSP-medewerkers
    CLD_U.15.06Gebeurtenissen geregistreerdWijzigingen in logging en monitoring worden gecontroleerd door onafhankelijke en geautoriseerde medewerkers. (Logregels mogen nooit worden gewijzigd; deze zijn immers bedoeld om als bewijslast te kunnen gebruiken).Controleren wijzigingen in logging en monitoring
    CLD_U.16.01SamenhangDe architectuur specificeert ten minste het volgende:
  • IT-services in relatie met functionaliteit voor bedrijfsprocessen;
  • het vertrouwensniveau van de beveiliging van de clouddiensten;
  • de beschrijving van de infrastructuur, netwerk- en systeemcomponenten die worden gebruikt voor de ontwikkeling en de werking van de cloud-service(s);
  • rollen en verantwoordelijkheden van de CSP en de CSC, inclusief de plichten om samen te werken en de bijbehorende controles bij de CSC;
  • IT-functies die door de CSP zijn toegewezen of uitbesteed aan onderaannemers.
  • Specificeren minimale zaken voor architectuur
    CLD_U.17.01VersleuteldCSC-data op transport en in rust is versleuteld.Versleutelen CSC-data op transport en in rust
    CLD_U.17.02GescheidenVirtuele machine platforms voor CSC’s met speciale/verhoogde beveiligingsvereisten zijn gescheiden ingericht.Gescheiden inrichten virtuele machine-platforms voor CSC’s
    CLD_U.17.03GehardendeVirtuele machine platforms zijn gehardend.Hardenen virtuele machine-platforms

    Control (normen)

    export normen Control als csv

    IDtrefwoordStellingNorm
    CLD_C.01.01RichtlijnenDe CSP beschikt voor clouddiensten over richtlijnen voor de inrichting van de service-managementorganisatie.Beschikken over richtlijnen voor inrichting van service-management-organisatie
    CLD_C.01.02RichtlijnenDe CSP heeft relevante beheerprocessen beschreven en effectief ingericht conform een vastgestelde cyclus, waaronder: registratie, statusmeting, monitoring, analyse, rapportage en evaluatie.Beschrijven en inrichten relevante beheerprocessen
    CLD_C.01.03Controleactiviteiten en rapportagesDe CSP beschikt voor clouddiensten over richtlijnen voor het:
    • uitvoeren van controle-activiteiten, waaronder penetratie- en kwetsbaarheidstesten;
    • evalueren van en rapporteren over de performance, conformance en leveringsprestaties.
    Richtlijnen voor uitvoeren controle-activiteiten en evalueren van en rapporteren over prestaties
    CLD_C.02.01Gemonitord en gereviewdDe CSP verifieert regelmatig de criteria die gebruikt worden om de risico’s te meten en om vast te stellen of ze steeds consistent zijn met de organisatiedoelstellingen, de strategie, het beleid en/of de context van de organisatie steeds in beschouwing worden genomen.Verifiëren van criteria voor risicometing en vaststelling consistentie van criteria
    CLD_C.02.02Gemonitord en gereviewdVastgestelde risico’s dienen in relatie met de factoren: waarde van de assets, dreigingen, zwakheden, kans op voorkomen en impact te worden gemonitord en geëvalueerd, om een compleet risicobeeld te behouden en tijdig veranderingen vast te (kunnen) stellen.Monitoren en evalueren risico’s voor behouden risicobeeld en tijdige vaststelling van veranderingen
    CLD_C.02.03Gemonitord en gereviewdDe CSP zal voor het monitoren van risico’s zich continu richten op:
  • nieuwe assets die deel behoren uit te maken van het toepassingsgebied van een risico-assessment;
  • veranderingen in de waarde van assets;
  • de mogelijkheid dat nieuwe of toegenomen zwakheden kunnen leiden tot dreigingen;
  • de mogelijkheid dat eerder vastgestelde zwakheden aan nieuwe dreigingen blootstaan;
  • toegenomen impact of consequenties van de beoordeelde risico’s en zwakheden resulterend in een onacceptabel risiconiveau;
  • informatiebeveiligingsincidenten.
  • Richten op diverse zaken met betrekking tot monitoren van risico
    CLD_C.02.04Gemonitord en gereviewdDe CSP voert regelmatig de monitoringsactiviteiten uit en mitigeert de vastgestelde risico’s.Uitvoeren monitoringsactiviteiten en mitigeren risico’s
    CLD_C.02.05Gemonitord en gereviewdBij het monitoren en reviewen worden onder andere de volgende elementen geadresseerd:
  • wet- en regelgeving en organisatorische/technische context;
  • risico-assessmentaanpak;
  • waarde assets en categorieën;
  • risico-evaluatiecriteria;
  • risico-acceptatiecriteria.
  • Adresseren diverse elementen bij monitoring en reviewen
    CLD_C.03.01CompliancyVoor de governance van de clouddienstverlening aan de CSC heeft de CSP een compliance-proces ingericht, waarmee continue compliance op wet- en regelgeving en het overeengekomen cloud-beveiligingsbeleid vorm wordt gegeven.Inrichten compliance-proces voor governance van clouddienstverlening
    CLD_C.03.02CompliancyDe CSP registreert de regulier uitgebrachte prestatie-, beveiligings- en compliance-rapportages in een administratie.Registreren reguliere rapportages in administratie
    CLD_C.03.03CompliancyHet compliance-proces is bij voorkeur aangesloten op een informatiebeveiligingsmanagementsysteem.Aansluiten compliance-proces op ISMS
    CLD_C.03.04AssuranceDe CSP laat jaarlijks door een derde partij een onderzoek (audit) uitvoeren op de inrichting en beheersing van de gecontracteerde clouddiensten.Uit laten voeren onderzoek op inrichting en beheersing van clouddiensten
    CLD_C.03.05AssuranceBij de assessment wordt door de derde partij zowel de cloud-omgeving als de administratie betrokken.Betrekken cloud-omgeving en administratie bij assessment
    CLD_C.03.06AansluitingDe CSP zorgt ervoor dat de uitkomsten uit de jaarlijkse assurance- rapportage (Third Party Mededeling (TPM)), de uitkomsten van de periodieke servicerapportages en de uitkomsten uit de continue compliance op het cloud-beveiligingsbeleid op elkaar aansluiten.Aansluiten uitkomsten uit diverse rapportages e.d.
    CLD_C.04.01technische kwetsbaarhedenDe CSP stelt de CSC informatie beschikbaar over het beheer van de technische kwetsbaarheden die de clouddiensten kunnen beïnvloeden.Beschikbaar stellen informatie over beheer van technische kwetsbaarheden
    CLD_C.04.02Technische kwetsbaarhedenDe CSP heeft de rollen en verantwoordelijkheden in relatie tot het beheersen van technische kwetsbaarheden, waaronder coördineren, monitoren, beoordelen van risico’s en mitigeren van kwetsbaarheden, gedefinieerd en vastgesteld.Definiëren en vaststellen rollen en verantwoordelijkheden
    CLD_C.04.03Technische kwetsbaarhedenAls de kans op misbruik en de verwachte schade beiden hoog zijn (NCSC classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen.Installeren patches en treffen mitigerende maatregelen
    CLD_C.04.04Technische kwetsbaarhedenHet tijdspad waarbinnen gereageerd moet worden op de aankondigingen van potentieel relevante kwetsbaarheden is gedefinieerd.Definiëren tijdspad waarbinnen gereageerd moet worden op aankondiging kwetsbaarheid
    CLD_C.04.05Technische kwetsbaarhedenPeriodiek worden penetratietests op de ICT-componenten uitgevoerd om zwakheden te identificeren.Uitvoeren penetratietests op ICT-componenten
    CLD_C.04.06Technische kwetsbaarhedenTechnische zwakheden kunnen worden verholpen door het tijdig uitvoeren van patchmanagement, wat inhoud:
  • het identificeren, registreren en verwerven van patches;
  • de besluitvorming rond het inzetten van patches;
  • het testen van patches;
  • het uitvoeren van patches;
  • het registreren van doorgevoerde patches.
  • Verhelpen technische zwakheden door patchmanagement
    CLD_C.04.08GeëvalueerdDe evaluatierapportages bevatten verbeteringsvoorstellen en worden gecommuniceerd met de verantwoordelijken/eigenaren van de ICT-componenten waarin kwetsbaarheden en zwakheden gevonden zijn.Communiceren verbeteringsvoorstellen uit evaluatierapportages en communiceren met de verantwoordelijken
    CLD_C.05.01Gemonitord en gerapporteerdRichtlijnen en afspraken voor het monitoren en rapporteren over informatiebeveiliging van de cloud-omgeving zijn vastgesteld en worden toegepast.Vaststellen en toepassen richtlijnen en afspraken voor monitoren en rapporteren
    CLD_C.05.02Gemonitord en gerapporteerdHet monitoren en rapporteren over de informatiebeveiliging zijn gerelateerd aan:
  • de geformuleerde strategische- en bedrijfsdoelen;
  • de risico’s die het bereiken van de strategische doelen kunnen beïnvloeden;
  • de beveiligingsincidenten, zoals cybersecurity-aanvallen.
  • Monitoren en rapporteren over informatiebeveiliging is gerelateerd doelen, risico en beveiligingsincidenten
    CLD_C.05.03Gemonitord en gerapporteerdHet monitoren van informatiebeveiliging en rapportages vindt plaats met:
  • het verzamelen van informatie uit interne en externe bronnen;
  • het inzicht door verzamelde informatie uit de combinatie van Key Performance Indicators (KPI’s) en Key Risk Indicators (KRI’s).
  • Monitoren informatiebeveiliging en rapportages op basis van verzamelde informatie en inzicht
    CLD_C.05.04Gemonitord en gerapporteerdDe informatiebeveiligingsrapportages worden in samenhang met rapportages uit andere beheerdisciplines (compliance en assurance-management en vulnerability-management) geanalyseerd.Analyseren informatiebeveiligingsrapportages in samenhang
    CLD_C.05.05Gemonitord en gerapporteerdAantoonbaar wordt opvolging gegeven aan de verbetervoorstellen uit de analyserapportages.Opvolgen verbeteringsvoorstellen uit analyse-rapportages
    CLD_C.05.06Gemonitord en gerapporteerdDe beveiligingsplannen worden periodiek geactualiseerd en toegewezen aan de hiervoor verantwoordelijke functionarissen.Actualiseren beveiligingsplannen en toewijzen aan verantwoordelijken
    CLD_C.06.01ProcesstructuurDe samenhang van de processen wordt in een processtructuur vastgelegd.Vastleggen samenhang van processen in processtructuur
    CLD_C.06.02Taken, verantwoordelijkheden en bevoegdhedenDe CSP heeft de taken en verantwoordelijkheden voor de uitvoering van de beheer(s)werkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix.Beschrijven taken, verantwoordelijkheden en bevoegdheden voor uitvoeren beheer(s)werkzaamheden
    CLD_C.06.03FunctionarissenDe belangrijkste functionarissen (stakeholders) voor de beheersingsorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.Benoemen functionarissen voor beheersingsorganisatie en inzichtelijk maken onderlinge relaties