Compliance en assurance

Uit NORA Online
ISOR:Compliance en assurance
Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Met compliance wordt aangeduid dat de CSP werkt in overeenstemming met de geldende wet- en regelgeving en het uitgestippeld cloudbeveiligingsbeleid. Hiervoor zal de CSP een compliance-functie moeten hebben ingericht die het management van CSP bijstaat bij het in control houden van de CSP-organisatie om in overeenstemming te werken met de geldende wet- en regelgeving en het overeengekomen beveiligingsbeleid.

Assurance is het zekerheid geven over de naleving van wet- en regelgeving met behulp van een onafhankelijke toetsing. Daarmee wordt aan de ‘Gebruiker’ zekerheid geboden van het beoogde beveiligingsniveau van de aangeboden clouddienst. Dit vindt plaats op basis van een assurance-rapportage.


Criterium

De CSP behoort regelmatig de naleving van de cloudbeveiligingsovereenkomsten op compliancy te beoordelen, jaarlijks een assurance-verklaring aan de CSC uit te brengen en ervoor te zorgen voor onderlinge aansluiting van de resultaten uit deze twee exercities.

Doelstelling

Risico

Indeling binnen ISOR

Dit beveiligingsprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is NEN-ISO/IEC 27002 18.1, 18.2.1 en 18.2.2, IT-Grundschutz (Basis für Informationssicherheit) C5 5.16

Onderliggende normen

IDConformiteitsindicatorStellingPagina
Cloud_C.03.01compliancyTen behoeve van de governance van de clouddienstverlening aan de CSC heeft de CSP een compliance-proces ingericht, op basis waarvan de continue compliance op wet- en regelgeving en het overeengekomen cloudbeveiligingsbeleid vorm wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.Inrichten compliance-proces voor governance van clouddienstverlening
Cloud_C.03.02compliancyDe CSP registreert de regulier uitgebrachte prestatie-, beveiligings- en compliance-rapportages in een administratie.Registreren reguliere rapportages in administratie
Cloud_C.03.03compliancyHet compliance-proces is bij voorkeur aangesloten op een Information Security Management System (ISMS).Aansluiten compliance-proces op ISMS
Cloud_C.03.04assuranceDe CSP laat jaarlijks door een derde partij een onderzoek (audit) uitvoeren op de inrichting en beheersing van de gecontacteerde clouddiensten.Uit laten voeren onderzoek op inrichting en beheersing van clouddiensten
Cloud_C.03.05assuranceBij de assessment wordt door de derde partij zowel de cloud-omgeving als de administratie betrokken.Betrekken cloud-omgeving en administratie bij assessment
Cloud_C.03.06aansluitingDe CSP zorgt ervoor dat de uitkomsten uit de jaarlijkse assurance-rapportage (TPM), de uitkomsten van de periodieke servicerapportages, en de uitkomsten uit de continue compliance op het cloudbeveiligingsbeleid op elkaar aansluiten.Aansluiten uitkomsten uit diverse rapportages e.d.