Compliance en assurance

Uit NORA Online
ISOR:Compliance en assurance
Ga naar: navigatie, zoeken
”Dit plaatje duidt aan dat de pagina's met betrekking tot deze BIO Thema-uitwerking in bewerking zijn”
Deze BIO Thema-uitwerking is in onderhoud
Een of meer pagina's van de BIO Thema-uitwerking Cloudiensten gaan binnenkort in onderhoud. Dit is herkenbaar aan de status Concept.
Versie 2.0 van deze BIO Thema-uitwerking van 1 juni 2021 wordt vervangen door versie 2.1 van 29 oktober 2021.
Let op! Versie 2.1 in pdf-formaat wordt pas op de website BIO-overheid/producten gepubliceerd, na de volledige invoer van alle updates van de BIO Thema-uitwerkingen in de ISOR.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Definitie

Betreft het voldoen aan wet- en regelgeving, beleid, richtlijnen en procedures en de onafhankelijke toetsing op de naleving hiervan.

Toelichting

Met compliance wordt aangeduid dat de CSP werkt conform de geldende wet- en regelgeving en het uitgestippeld cloud-beveiligingsbeleid. Aan de CSC wordt zekerheid geboden over het beoogde beveiligingsniveau van de aangeboden clouddienst. Hiervoor zal de CSP een compliance-functie moeten hebben ingericht die het management van de CSP bijstaat bij het in control houden van de CSP-organisatie om te werken volgens de geldende wet- en regelgeving en het overeengekomen beveiligingsbeleid.


Assurance is het zekerheid geven over de naleving van wet- en regelgeving door een onafhankelijke toetsing. Daarmee wordt aan de CSC zekerheid geboden van het beoogde beveiligingsniveau van de aangeboden clouddienst. Dit vindt plaats met een assurance-rapportage.


Criterium

De CSP behoort regelmatig de naleving van de cloud-beveiligingsovereenkomsten op compliancy te beoordelen, jaarlijks een assurance-verklaring aan de CSC uit te brengen en te zorgen voor onderlinge aansluiting van de resultaten uit deze twee exercities.

Doelstelling

Het voorkomen van het overtreden van wet- en regelgeving, het beveiligingsbeleid, de richtlijnen en de procedures en zekerheid bieden over het beoogde beveiligingsniveau van de clouddienst.

Risico

Het ongecontroleerd afwijken van hetgeen gesteld is in wet- en regelgeving, het beveiligingsbeleid, de richtlijnen en de procedures en geen zekerheid hebben over het ingevoerde beveiligingsniveau.

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is NEN-ISO/IEC 27002 18.2.1 en 18.2.2

Onderliggende normen

IDConformiteitsindicatorStelling
CLD_C.03.01 Compliancy

Voor de governance van de clouddienstverlening aan de CSC heeft de CSP een compliance-proces ingericht, waarmee continue compliance op wet- en regelgeving en het overeengekomen cloud-beveiligingsbeleid vorm wordt gegeven.

CLD_C.03.02 Compliancy

De CSP registreert de regulier uitgebrachte prestatie-, beveiligings- en compliance-rapportages in een administratie.

CLD_C.03.03 Compliancy

Het compliance-proces is bij voorkeur aangesloten op een informatiebeveiligingsmanagementsysteem.

CLD_C.03.04 Assurance

De CSP laat jaarlijks door een derde partij een onderzoek (audit) uitvoeren op de inrichting en beheersing van de gecontracteerde clouddiensten.

CLD_C.03.05 Assurance

Bij de assessment wordt door de derde partij zowel de cloud-omgeving als de administratie betrokken.

CLD_C.03.06 Aansluiting

De CSP zorgt ervoor dat de uitkomsten uit de jaarlijkse assurance- rapportage (Third Party Mededeling (TPM)), de uitkomsten van de periodieke servicerapportages en de uitkomsten uit de continue compliance op het cloud-beveiligingsbeleid op elkaar aansluiten.