Cloudbeveiligingsstrategie

Beveiligingsprincipe
ID:	Cloud_B.02
Versie:	1.0
Status:	Actueel
PublicatiedatumDatum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified):	26-2-2020
Redactionele wijzigingsdatumDatum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.:	26-2-2020
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:	Intentie

Verwante principes

→ BIO Thema Clouddiensten

→ Binnen dit normenkader èn beveiligingsaspect

→ Alle Normenkaders

→ Alle Beveiligingsprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ ISOR

Organisaties staan voor de vraag, welke clouddiensten ze moeten verwerven en waar en hoe ze deze veilig kunnen inzetten. Hiervoor moeten de IT-stakeholders van CSC’s een beslissingsraamwerk ontwikkelen, waarmee systematisch de mogelijke scenario’s kunnen worden onderzocht. Dit raamwerk richt zich met name op typen applicaties en technische karakteristieken. Een strategie omvat uitspraken omtrent de doelstellingen bij de inzet van de clouddiensten, die de organisatie wil nastreven en de wegen waarlangs of de wijze waarop dit moet plaatsvinden.

Om CSC’s te kunnen bedienen, zal de CSP vanuit haar eigen optiek een cloudbeveiligingsstrategie hebben ontwikkeld. Deze strategie geeft de CSC’s voldoende mogelijkheden om hun cloudstrategie te relateren aan de strategie van een specifieke CSP. Dit biedt de CSC de mogelijkheid om haar keuzes bij te stellen dan wel aanvullende eisen aan de CSP te stellen.

Criterium

De CSP behoort een cloudbeveiligingsstrategie te hebben ontwikkeld die samenhangt met de strategische doelstelling van de CSP en die aantoonbaar de informatieveiligheid ondersteunt.

Doelstelling

Risico

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op Beveiligingsaspect Beleid
valt binnen de IFGS-indeling IFGS Intentie
ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is SoGP (Standard of Good Practice for Information Security) Information Security Strategy

Onderliggende normen

ID	Conformiteitsindicator	Stelling	Pagina
Cloud_B.02.01	cloudbeveiligingsstrategie	De cloudbeveiligingsstrategie van de CSP geeft aan op welke wijze zij de bedrijfsdoelstellingen van CSC('s) ondersteunt door onder andere te beschrijven: een evenwichtige set van beveiligingsmaatregelen, waarin aandacht wordt besteed aan risicomanagement; hoe (functioneel) cloudbeveiliging de weerbaarheid tegen high-impact incidenten met een hoge impact bewerkstelligt.	Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteunt
Cloud_B.02.02	cloudbeveiligingsstrategie	De cloudbeveiligingsstrategie van de CSP: geeft onder andere aan hoe zij de CSC’s tegen bedreigingen beschermt; besteedt aandacht aan de huidige beveiligingscontext van de CSP, inclusief vaardigheden (skills), capaciteiten (capabilities) en informatie beveiligingsfunctie.	Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontext
Cloud_B.02.03	samenhangt	De samenhang van beveiligingsmaatregelen van de CSP ondersteunt het behalen van de bedrijfsdoelen van de CSC. Hierin wordt aangegeven: in welke mate de cloudbeveiligingsstrategie van de CSP in lijn is met de organisatiebrede doelstellingen van de CSC; hoe de cloudbeveiligingsgovernance van de CSC wordt ondersteund door het management van de CSP; dat de clouddiensten gedocumenteerd zijn en regelmatig worden gereviewd.	Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelen