Beveiligingsorganisatie

Uit NORA Online
ISOR:Beveiligingsorganisatie
Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

De beveiligingsfunctie omvat de geformaliseerde taken en verantwoordelijkheden met betrekking tot de clouddiensten. Binnen de beveiligingsfunctie is geregeld dat contact wordt onderhouden met verantwoordelijken binnen de CSC-organisatie wanneer sprake is van beveiligingsincidenten.

De beveiligingsorganisatie van de CSP ziet toe op het naleven van haar informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden., haar clouddienstenbeleid en overig hieraan gerelateerd beleid. Waar nodig grijpt de beveiligingsorganisatie in. De taken, verantwoordelijkheden, bevoegdheden en middelen die de beveiligingsorganisatie hiervoor heeft, zijn vooraf expliciet, in relatie tot de CSC, benoemd en vastgesteld. Ook moet vooraf vaststaan hoe de rapportagelijnen tussen de beveiligingsverantwoordelijken zijn georganiseerd.


Criterium

De CSP behoort een beveiligingsfunctie te hebben benoemd en een beveiligingsorganisatie te hebben ingericht, waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld.

Doelstelling

Risico

Indeling binnen ISOR

Dit beveiligingsprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 6.1, NEN-ISO/IEC 27002 6.1 en 6.2, ISA62443-2-1 4.3.2.3, SoGP (Standard of Good Practice for Information Security) , NCSC (Nationaal Cyber Security Centrum)

Onderliggende normen

IDConformiteitsindicatorStellingPagina
Cloud_B.10.01beveiligingsfunctieDe beveiligingsfunctie, die geleid wordt door een CSO, ondersteunt de CSP voor het bewerkstelligen en promoten van cloudbeveiligingsbeleid door:
  • het ontwikkelen en onderhouden van beveiligingsstrategie en -beleid;
  • het ontwikkelen van beveiligingsstandaarden, procedures en richtlijnen;
  • het definiëren van een set beveiligingsdiensten;
  • het coördineren van beveiliging door de gehele organisatie;
  • het monitoren van de effectiviteit van de clouddienstreglementen;
  • het bieden van overzicht van en het doen van onderzoeken naar beveiligingsdiensten.
Bewerkstelligen en promoten cloudbeveiligingsbeleid
Cloud_B.10.02beveiligingsfunctieDe beveiligingsfunctie voorziet in proactieve ondersteuning van:
  • cloudrisico-assessment-activiteiten;
  • classificeren van informatie en systemen;
  • gebruik van encryptie;
  • beveiliging van gerelateerde projecten;
  • ontwikkelen van bedrijfscontinuïteitsprogramma en beveiligingsaudits.
  • Voorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelen
    Cloud_B.10.03organisatorische positieDe CSP heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. NB Dit een voorstel van de WGR en SGR.Geven positie van informatiebeveiligingsorganisatie binnen organisatie
    Cloud_B.10.04taken, verantwoordelijkheden en bevoegdhedenDe CSP heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. beschreven en toegewezen aan specifieke functionarissen. NB Deze tekst is een specifieke overheidsmaatregel uit de BIO.Toewijzen verantwoordelijkheden voor definiëren, coördineren en evalueren van informatiebeveiliging
    Cloud_B.10.05taken, verantwoordelijkheden en bevoegdhedenDe taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix.Vastleggen taken, verantwoordelijkheden en bevoegdheden in autorisatiematrix
    Cloud_B.10.06functionarissenDe belangrijkste functionarissen (stakeholders) voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.Benoemen functionarissen voor informatiebeveiliging en onderlinge relaties inzichtelijk maken
    Cloud_B.10.07rapportagelijnenDe verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld.Vaststellen verantwoordings- en rapportagelijnen tussen betrokken functionarissen
    Cloud_B.10.08rapportagelijnenHet type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.Vaststellen type, frequentie en eisen voor inhoudelijke rapportages
    TVZ_B.05.01organisatorische positieDe beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie.Positie van beveiligingsorganisatie
    TVZ_B.05.02functionarissenDe belangrijkste functionarissen (stakeholders) voor de beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.Organisatieschema met de belangrijkste functionarissen
    TVZ_B.05.03taken verantwoordelijkheden en bevoegdhedenDe organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen.Toewijzen van verantwoordelijkheden voor de taken van de beveiligingsorganisatie
    TVZ_B.05.04taken verantwoordelijkheden en bevoegdhedenDe taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix.De Autorisatiematrix met de beschrijving van de taken, verantwoordelijkheden en bevoegdheden
    TVZ_B.05.05rapportagelijnenDe verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen zijn vastgesteld.De verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen
    TVZ_B.05.06rapportagelijnenDe frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.De frequentie en de eisen voor de inhoudelijke rapportages