Controle op de afspraken uit leveranciersovereenkomst en SLA

Versie 2.0 van 1 juni 2021 van de BIO Thema-uitwerking Clouddiensten is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	CLD_C.05
Versie:	2.4
Status:	Actueel
Indeling
Beveiligingsaspect:	Control
Invalshoek:	Gedrag

Objectdefinitie

Controle op de afspraken uit de leveranciersovereenkomst en SLA gaat over de periodieke evaluatie en controle van deze afspraken op effectiviteit en compleetheid.

Objecttoelichting

Door bij het opstellen van de leveranciersovereenkomst en SLA te kijken naar de maatregelen, zoals die in de objecten zijn beschreven, wordt aandacht gegeven aan die aspecten die van belang zijn voor het mitigeren van risico’s. Door hier periodiek een evaluatie en controle op uit te voeren en daar waar nodig verbeterplannen door te voeren, blijft de informatieveiligheid en de gegevensbescherming op het vereiste niveau.

Criterium

De contractuele vereisten en SLA’s en in het bijzonder BCM, cryptografie, software, veiligheid van de koppelvlakken, de interoperabiliteit & portabiliteit worden als onderdeel van een informatiebeveiligingsprogramma periodiek geëvalueerd en gecontroleerd op verbeterpunten en het up-to-date zijn.

Doelstelling

Alle afspraken die in de leveranciersovereenkomst worden geëvalueerd en gecontroleerd op verbeterpunten of het up-to-date zijn.

Risico

Als de afspraken uit de leveranciersovereenkomst en SLA niet periodiek en aantoonbaar worden geëvalueerd en gecontroleerd, bestaat het risico dat afwijkingen en verouderde afspraken niet tijdig worden onderkend, waardoor de clouddienst niet langer voldoet aan overeengekomen beveiligings- en prestatieniveaus en bijsturing uitblijft.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Control;
valt binnen de Invalshoek Gedrag.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is CIP-netwerk

Onderliggende normen

ID	Conformiteitsindicator	Stelling
CLD_C.05.01	contractuele vereisten en SLA’s	Minimaal jaarlijks worden de contractuele vereisten en SLA’s gecontroleerd voor alle diensten die een CSP aan de CSC levert. Wanneer niet aan de contractuele vereisten en SLA’s wordt voldaan, wordt dit in samenspraak tussen de CSC en de CSP besproken en worden de problemen opgelost.
CLD_C.05.02	BCM	De CSC evalueert het beleid en de procedures voor bedrijfscontinuïteitsbeheer (BCM) en operationele weerbaarheid. De evaluatie van het up-to-date houden van het beleid en de procedures gebeurt minstens jaarlijks.
CLD_C.05.03	BCM	Herstelprocedures worden door de CSP regelmatig getest, tenminste jaarlijks. Met de tests kan worden beoordeeld of zowel de contractuele afspraken met de CSC als de specificaties voor de maximaal toelaatbare downtime (Recovery Time Objective, RTO) en het maximaal toelaatbare dataverlies (Recovery Point Objective, RPO) worden nageleefd (zie U.21). Afwijkingen van de specificaties worden gemeld aan de CSC.
CLD_C.05.04	cryptografie	Het beleid en de procedures voor cryptografie, encryptie en sleutelbeheer (zie U.10) worden minstens jaarlijks beoordeeld.
CLD_C.05.05	cryptografie	Voer een audit uit van encryptie- en sleutelbeheersystemen, encryptiebeleid en bijbehorende processen met een frequentie die evenredig is aan de risicoblootstelling van het systeem, waarbij de audit bij voorkeur continu maar ten minste jaarlijks en na eventuele beveiligingsgebeurtenissen plaatsvindt.
CLD_C.05.06	cryptografie	Registreer en bewaak belangrijke levenscyclusbeheergebeurtenissen om auditing en rapportage over het gebruik van cryptografische sleutels mogelijk te maken.
CLD_C.05.07	software	Door de CSC worden voor het veilig houden van de applicaties de effectiviteit van de basisvereisten gecontroleerd en de versies van de basisvereisten beheerd. Zo nodig worden de vereisten, de documentatie en de communicatie verbeterd.
CLD_C.05.08	Koppel vlakken	De CSP bewaakt, versleutelt en beperkt de communicatie tussen segmenten/omgevingen tot alleen geverifieerde en geautoriseerde verbindingen. De CSP controleert deze configuraties ten minste jaarlijks en ondersteunt ze met een gedocumenteerde rechtvaardiging van alle toegestane services, protocollen, poorten en compenserende controles.
CLD_C.05.09	koppel vlakken	Als penetratietesten onderdeel zijn van de beveiligingstests, genoemd als onderdeel in de leveranciersovereenkomst, dan worden voor het periodiek uitvoeren van penetratietesten door onpartijdige derde partijen de processen, procedures en technische maatregelen gedefinieerd, geïmplementeerd en geëvalueerd.
CLD_C.05.10	interoperabiliteit & portabiliteit	Het beleid, de procedures en de voorzieningen voor retourneren, verplaatsen en verwijderen van bedrijfsmiddelen, inclusief de daarvoor benodigde interoperabiliteit en portabiliteit worden, in lijn met U.02, minstens jaarlijks beoordeeld en geüpdatet.
CLD_C.05.11	Informatiebeveiligings programma	De CSC hanteert een informatiebeveiligingsprogramma met daarin de aandachtspunten voor de inzet van de clouddiensten. De afspraken in de leveranciersovereenkomst en de objecten in dit thema-document kan daarvoor input zijn.