Exit-strategie

Beveiligingsprincipe
ID:	Cloud_B.03
Versie:	1.0
Status:	Actueel
PublicatiedatumDatum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified):	26-2-2020
Redactionele wijzigingsdatumDatum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.:	26-2-2020
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:	Intentie

Verwante principes

→ BIO Thema Clouddiensten

→ Binnen dit normenkader èn beveiligingsaspect

→ Alle Normenkaders

→ Alle Beveiligingsprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ ISOR

Omdat geen enkel contract 'voor eeuwig' is, moet een CSC op een zeker moment afscheid kunnen nemen van de CSP. Als bij het afsluiten van de clouddienst geen bindende afspraken zijn gemaakt over het afscheid nemen, dan kan het heel lastig of kostbaar worden om data te migreren naar een andere CSP. De organisatie zal rekening moeten houden met een ‘Vendor lock-in’. Het is daarom van belang, nog voor het aangaan van een overeenkomst met een CSP, een exit-strategie te ontwikkelen. De exit-strategie dient de voorwaarden voor mutaties van data te bevatten. Het is ook mogelijk de praktische uitwerking van de exit-strategie op te nemen in een service level agreement.

Om verschillende redenen kan een CSC de dienstverlening van de CSP willen beëindigen. Enerzijds planmatig, zoals bij het einde van de contracttermijn, anderszins omwille van moverende redenen, zoals niet voldoen aan de afspraken, overname van de CSP door een andere organisatie. Het niet planmatig beëindigen is gerelateerd aan de exit-strategie, dat onderdeel is van Bedrijfscontinuïteitsmanagement (BCM). Het planmatig beëindigen van de dienstverlening raakt de transitie en is onderdeel van Service Level Management (SLM).

Criterium

In de clouddiensten-overeenkomst tussen CSP en CSC behoort een exit-strategie te zijn opgenomen waarbij zowel een aantal bepalingen aangaande exit zijn opgenomen, als een aantal condities die aanleiding kunnen geven tot een exit (https://blog.weolcan.eu/wat-is-een-cloud-exit-strategie-precies-en-hoe-voer-je-het-uit).

Doelstelling

Risico

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op Beveiligingsaspect Beleid
valt binnen de IFGS-indeling IFGS Intentie
ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is IT-Grundschutz (Basis für Informationssicherheit) C5 PI-02, [[[1]]]

Onderliggende normen

ID	Conformiteitsindicator	Stelling
Cloud_B.03.01	bepalingen	De CSC legt in de overeenkomst een aantal bepalingen aangaande exit-regeling vast, zoals: de exit-bepaling geldt zowel bij het einde van de overeenkomst als om valide redenen aangedragen door de CSC (zie condities); de overeenkomst (en eventuele verwerkersovereenkomst) duurt voort totdat de exit-regeling helemaal is uitgevoerd; de opzegtermijn geeft voldoende tijd om te kunnen migreren; data en configuratiegegevens (indien relevant) mogen pas na succesvolle migratie verwijderd worden; door een onafhankelijke partij wordt gecontroleerd en vastgesteld dat alle data is gemigreerd; de exit-regeling wordt aangepast/anders ingevuld als de software die gebruikt wordt voor de clouddienst is gewijzigd.
Cloud_B.03.02	condities	De CSC kan, buiten het verstrijken van de contractperiode, besluiten over te gaan tot exit wanneer sprake is van aspecten die gerelateerd zijn aan: de contracten: niet beschikbaarheid zijn van afgesproken performance; eenzijdige wijziging door de CSP van het SLA; prijsverhoging. de geleverde prestatie/ondersteuning: onvoldoende compensatie voor storingen; niet leveren van de afgesproken beschikbaarheid of performance; gebrekkige support en/of ondersteuning. clouddienst(en): nieuwe eigenaar of nieuwe strategie; end-of life van de clouddienst(en); achterwege blijvende features.