Data en privacy
Verwante principes |
Data en privacy omvat de inventarisatie en classificatie van gegevens volgens een specifiek labelingbeleid. Databescherming kan plaatsvinden in drie toestanden: data-at-rest, data-in-use en data-in-transit. Data in apparaten kan worden beheerst door te richten op drie momenten: verwijdering, vervoer en verplaatsing. Data kan gerelateerd worden aan bedrijfsgegevens en persoonsgegevens. Ter bescherming van persoonsgegevens zullen de noodzakelijke maatregelen moeten zijn getroffen. Beveiliging van data kan vanuit verschillende aspecten worden benaderd. In onderstaande afbeelding worden de voornaamste aspecten benoemd.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op Beveiligingsaspect Beleid
- valt binnen de IFGS-indeling IFGS Gedrag
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is Focus Group on Cloud Computing Technical Report (ITU-T FG Cloud TR) Part 5 Cloud Security - 8.5
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
Cloud_B.09.01 | beveiligingsaspecten en stadia |
Voor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen. |
Cloud_B.09.02 | toegang en privacy |
Ter bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, DPIA, sterke toegangsbeveiliging en encryptie. |
Cloud_B.09.03 | classificatie/labelen |
Aan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op datatype, waarde, gevoeligheid en kritische gehalte voor de organisatie. |
Cloud_B.09.04 | classificatie/labelen |
Data gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data. |
Cloud_B.09.05 | classificatie/labelen |
De CSP past een uniforme classificatie toe voor informatie en middelen, die relevant zijn voor de ontwikkeling en aanbieden van clouddiensten. |
Cloud_B.09.06 | eigenaarschap |
Het eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld. |
Cloud_B.09.07 | eigenaarschap |
In de overeenkomst tussen CSP en CSC is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten. |
Cloud_B.09.08 | locatie |
De CSP specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen. |