BIO Thema Clouddiensten - Cloudbeveiligingsprincipes binnen het control-aspect

Uit NORA Online
< BIO Thema-uitwerking ClouddienstenBIO Thema Clouddiensten/Cloudbeveiligingsprincipes binnen het control-aspect
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)

In onderstaande tabel worden de geïdentificeerde principes beschreven binnen het controlaspect.


Nr. Beveiligingsobjecten Omschrijving
C.01 Service Management beleid en evaluatie clouddiensten Richtlijnen voor het inrichten van beheerprocessen en voor het evalueren/uitvoeren van controle-activiteiten aangaande clouddiensten.
C.02 Risk Control Het beoordelen van de assessment van dreigingen en kwetsbaarheden en het beoordelen van het beheersen van de onderkende risico’s.
C.03 Compliance en Assurance Onafhankelijke toetsing op de naleving van het overeengekomen beveiligingsbeleid, richtlijnen en procedures, waarmee aan de CSC zekerheid wordt geboden over het beoogde beveiligingsniveau van de aangeboden clouddienst.
C.04 Technische kwetsbaarhedenbeheer Het verzamelen en beheren van security-kwetsbaarheden en issues. Voor wat betreft de services van de CSC, het transparant communiceren van kwetsbaarheden van de genomen (of nog te nemen) maatregelen voor IT en organisatie.
C.05 Security Monitoring Het continu bewaken van- en het rapporteren over security events en rapportage over de geconstateerde afwijking van het overeengekomen beveiligingsniveau.
C.06 Clouddiensten beheerorganisatie De inrichting en het functioneren van de organisatie rond het functioneel- en technisch beheer van clouddiensten en de bijbehorende taken, verantwoordelijkheden en bevoegdheden.
Omschrijving van de beveiligingsobjecten voor het Control domein

Toelichting control-aspect

Onderstaande afbeelding toont de dreigingen/kwetsbaarheden van de benoemde principes per invalshoek. De invalshoeken zijn:

Intentie

De organisatie heeft het clouddienstenbeleid vertaald naar een servicemanagementbeleid en evaluatie-richtlijnen voor het inrichten, evalueren en bewaken van het functioneren en van de bescherming van de clouddiensten en activiteiten uitvoeren ten aanzien van het monitoren en reviewen van de risico’s.

Functie

De organisatie heeft beheersingsprocessen ingericht verricht ten aanzien van beveiligingscontroles en kwetsbaarheden van de clouddiensten.

Gedrag

De organisatie verricht in haar processen activiteiten ten aanzien van: monitoren van clouddiensten en technische kwetsbaarheden.

Structuur De organisatie heeft voor de clouddiensten een beheersingsorganisatie ingericht.

”De dreigingen en kwetsbaarheden van de controlprincipes”
De dreigingen en kwetsbaarheden van de controlprinipes

Dreigingen/kwetsbaarheden in relatie tot de cloudcontrol-principes

Het control-aspect is op dezelfde wijze geanalyseerd als vermeld bij het beleidsaspect. Ook hier zijn de vermelde dreigingen/kwetsbaarheden en risico’s zijn niet uitputtend benoemd. De relevante principes binnen het control-aspect wordt weergegeven in onderstaande afbeelding.

Afbeelding 17 toevoegen: 'De control-principes gestructureerd conform het SIVA-raamwerk'