Beveiligingsorganisatie Clouddiensten

Beveiligingsprincipe
ID:	Cloud_B.10
Versie:	2.0 CONCEPT
Status:	Actueel
PublicatiedatumDatum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified):
Redactionele wijzigingsdatumDatum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.:	25-11-2020
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:	Structuur

Verwante principes

→ BIO Thema-uitwerking Clouddiensten

→ Binnen dit normenkader èn beveiligingsaspect

→ Alle Normenkaders

→ Alle Beveiligingsprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ ISOR

De beveiligingsfunctie omvat de geformaliseerde taken en verantwoordelijkheden met betrekking tot de clouddiensten. Binnen de beveiligingsfunctie is geregeld dat contact wordt onderhouden met verantwoordelijken binnen de CSC-organisatie wanneer sprake is van beveiligingsincidenten.

De beveiligingsorganisatie van de CSP ziet toe op het naleven van haar informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden., haar clouddienstenbeleid en overig hieraan gerelateerd beleid. Waar nodig grijpt de beveiligingsorganisatie in. De taken, verantwoordelijkheden, bevoegdheden en middelen die de beveiligingsorganisatie hiervoor heeft, zijn vooraf expliciet, in relatie tot de CSC, benoemd en vastgesteld. Ook moet vooraf vaststaan hoe de rapportagelijnen tussen de beveiligingsverantwoordelijken zijn georganiseerd.

Criterium

De CSP behoort een beveiligingsfunctie te hebben benoemd en een beveiligingsorganisatie te hebben ingericht, waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld.

Doelstelling

De reden waarom de norm gehanteerd wordt.

Risico

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op Beveiligingsaspect Beleid
valt binnen de IFGS-indeling IFGS Structuur
ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

Onderliggende normen

ID	Conformiteitsindicator	Stelling
Cloud_B.10.01	beveiligingsfunctie	De beveiligingsfunctie, die geleid wordt door een CSO, ondersteunt de CSP voor het bewerkstelligen en promoten van cloudbeveiligingsbeleid door: het ontwikkelen en onderhouden van beveiligingsstrategie en -beleid; het ontwikkelen van beveiligingsstandaarden, procedures en richtlijnen; het definiëren van een set beveiligingsdiensten; het coördineren van beveiliging door de gehele organisatie; het monitoren van de effectiviteit van de clouddienstreglementen; het bieden van overzicht van en het doen van onderzoeken naar beveiligingsdiensten.
Cloud_B.10.02	beveiligingsfunctie	De beveiligingsfunctie voorziet in proactieve ondersteuning van: cloudrisico-assessment-activiteiten; classificeren van informatie en systemen; gebruik van encryptie; beveiliging van gerelateerde projecten; ontwikkelen van bedrijfscontinuïteitsprogramma en beveiligingsaudits.
Cloud_B.10.03	organisatorische positie	De CSP heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. NB Dit een voorstel van de WGR en SGR.
Cloud_B.10.04	taken, verantwoordelijkheden en bevoegdheden	De CSP heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. beschreven en toegewezen aan specifieke functionarissen. NB Deze tekst is een specifieke overheidsmaatregel uit de BIO.
Cloud_B.10.05	taken, verantwoordelijkheden en bevoegdheden	De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix.
Cloud_B.10.06	functionarissen	De belangrijkste functionarissen (stakeholders) voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.
Cloud_B.10.07	rapportagelijnen	De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld.
Cloud_B.10.08	rapportagelijnen	Het type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.