Clouddienstenbeleid

Beveiligingsprincipe
ID:	Cloud_B.04
Versie:	1.0
Status:	Actueel
PublicatiedatumDatum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified):	26-2-2020
Redactionele wijzigingsdatumDatum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.:	26-2-2020
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:	Intentie

Verwante principes

→ BIO Thema Clouddiensten

→ Binnen dit normenkader èn beveiligingsaspect

→ Alle Normenkaders

→ Alle Beveiligingsprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ ISOR

Het onderwerp cloud(diensten) zal een specifiek onderdeel moeten zijn van het informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. van de CSC. Een CSC kan ook kiezen voor een specifiek clouddienstenbeleid, waarbij in de informatiebeveiligingsparagraaf, het algemene informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. specifiek voor clouddiensten wordt uitgewerkt of ingevuld. Het beleid zal uitgangspunten moeten bevatten over de wijze waarop, binnen welk tijdbestek en met welke middelen clouddiensten de doelstellingen moeten bereiken. In dit beleid zal ook aandacht moeten worden besteed aan archiveringsbeleid, cryptografiebeleid, certificering en verklaringen.

Om de CSC te kunnen bedienen, zal de CSP vanuit haar eigen optiek een cloudbeveiligingsbeleid hebben ontwikkeld. Dit beleid geeft de CSC mogelijkheden om haar cloudbeleid te relateren aan de strategie van CSP en biedt de CSC de mogelijkheid om de keuzes bij te stellen dan wel aanvullende eisen aan de CSP te stellen.

Criterium

De CSP behoort haar uit te breiden met een cloudbeveiligingsbeleid om de voorzieningen en het gebruik van cloudservices te adresseren.

Doelstelling

Risico

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op Beveiligingsaspect Beleid
valt binnen de IFGS-indeling IFGS Intentie
ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is ISA62443-2-1 4.3.2, ISO 27017 5.1, Cloud Security Alliance (CSA) GRM, IT-Grundschutz (Basis für Informationssicherheit) C5 OIS-06

Onderliggende normen

ID	Conformiteitsindicator	Stelling
Cloud_B.04.01	cloudbeveiligingsbeleid	Het cloudbeveiligingsbeleid bevat zowel organisatorisch als technische georiënteerde maatregelen, zoals: Organische georiënteerde maatregelen: informatiebeveiligingsvereisten die van toepassing zijn bij het ontwerp en de implementatie van de cloudservices; communicatie met CSC in relatie tot en tijdens wijzigingen; communicatie van beveiligingsinbreuken en het delen van informatie; richtlijnen voor de ondersteuning van (forensische) onderzoeken; compliancy maatregelen ten aanzien van wet- en regelgeving. Technisch georiënteerde maatregelen: multi-tenancy en isolatie van CSC; toegangsprocedures e.g., sterke authenticatie voor toegang tot de cloudservices; toegang tot en protectie van data van de CSC; lifecycle-management van CSC-accounts; risico’s gerelateerd aan niet geautoriseerde insiders; virtualisatie beveiliging; beveiligingsarchitectuur en -maatregelen voor het beschermen van data, applicaties en infrastructuur.