Compliance en assurance

Uit NORA Online
ISOR:Compliance en assurance
Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Met compliance wordt aangeduid dat de CSP werkt in overeenstemming met de geldende wet- en regelgeving en het uitgestippeld cloudbeveiligingsbeleid. Hiervoor zal de CSP een compliance-functie moeten hebben ingericht die het management van CSP bijstaat bij het in control houden van de CSP-organisatie om in overeenstemming te werken met de geldende wet- en regelgeving en het overeengekomen beveiligingsbeleid.

Assurance is het zekerheid geven over de naleving van wet- en regelgeving met behulp van een onafhankelijke toetsing. Daarmee wordt aan de ‘Gebruiker’ zekerheid geboden van het beoogde beveiligingsniveau van de aangeboden clouddienst. Dit vindt plaats op basis van een assurance-rapportage.


Criterium

De CSP behoort regelmatig de naleving van de cloudbeveiligingsovereenkomsten op compliancy te beoordelen, jaarlijks een assurance-verklaring aan de CSC uit te brengen en ervoor te zorgen voor onderlinge aansluiting van de resultaten uit deze twee exercities.

Doelstelling

Risico

Indeling binnen ISOR

Dit beveiligingsprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is NEN-ISO/IEC 27002 18.1, 18.2.1 en 18.2.2, IT-Grundschutz (Basis für Informationssicherheit) C5 5.16

Onderliggende normen

IDConformiteitsindicatorStelling
Cloud_C.03.01 compliancy

Ten behoeve van de governance van de clouddienstverlening aan de CSC heeft de CSP een compliance-proces ingericht, op basis waarvan de continue compliance op wet- en regelgeving en het overeengekomen cloudbeveiligingsbeleid vorm wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.

Cloud_C.03.02 compliancy

De CSP registreert de regulier uitgebrachte prestatie-, beveiligings- en compliance-rapportages in een administratie.

Cloud_C.03.03 compliancy

Het compliance-proces is bij voorkeur aangesloten op een Information Security Management System (ISMS).

Cloud_C.03.04 assurance

De CSP laat jaarlijks door een derde partij een onderzoek (audit) uitvoeren op de inrichting en beheersing van de gecontacteerde clouddiensten.

Cloud_C.03.05 assurance

Bij de assessment wordt door de derde partij zowel de cloud-omgeving als de administratie betrokken.

Cloud_C.03.06 aansluiting

De CSP zorgt ervoor dat de uitkomsten uit de jaarlijkse assurance-rapportage (TPM), de uitkomsten van de periodieke servicerapportages, en de uitkomsten uit de continue compliance op het cloudbeveiligingsbeleid op elkaar aansluiten.