Naar de inhoud Naar de navigatie
Logo ISOR [[Normen]]: een paars hangslot met erboven de tekst ISOR en eronder de tekst Norm.
Afbeeldingsinformatie

Integrale risicoanalyse en beheersmaatregelen voor cloudgebruik binnen de CSC

Versie 2.0 van 1 juni 2021 van de BIO Thema-uitwerking Clouddiensten is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
ID: CLD_B.05.05
Norm
Versie: 2.4
Status: Actueel
Indeling
Beveiligingsaspect:
Icoon met de B van Beleid in wit op paars
Beleid
Invalshoek:
Icoon met de I van Intentie in wit op blauw
Intentie
Bovenliggende principe
Meer in normenkader èn aspect
Alle normen
Alle normenkaders
ISOR

Stelling

De CSC beschrijft in de toegespitste risicoanalyse ten minste de volgende onderdelen:
1. De context van het cloudgebruik en de karakteristieken van het betreffende cloudgebruik zoals:

  • de beoogde baten;
  • de selectie van de hoofdleverancier en zijn toeleverancier;
  • het type dienstverlening (publieke, private, hybride, community cloud en IaaS, SaaS, PaaS);
  • de gevoeligheid van de type gegevens;
  • de geografische regio van verwerking en opslag van gegevens.

2. De relevante risico’s waarbij aandacht is voor:

  • a. de C2000 criteria van het Rijksbreed cloudbeleid. Als er sprake is van risico’s voortkomende uit deze criteria wordt conform cloudbeleid tijdig dreigings- en beveiligingsadvies ingewonnen van AIVD en/of MIVD. Indien nationale veiligheidsrisico’s niet voldoende kunnen worden beheerst, worden waar mogelijk dergelijke partijen uitgesloten ;
  • b. de public cloud risicoscenario’s van het Nationaal Bureau voor Verbindingsbeveiliging (NBV);
  • c. de vergelijking met de on-premise verwerking;
  • d. risico’s voor veiligheid van personen voor wie er extra risico’s zijn indien persoonsgegevens gelekt worden ;
  • e. continuïteitsrisico’s onder meer voor de uitvoering van taken.

3. De analyse van de getroffen technische en organisatorische maatregelen waaruit blijkt dat CSC en de CSP voldoen aan de gestelde informatiebeveiligingseisen. Hierbij is aandacht voor:

  • a. het door de cloudleverancier toelaten van verantwoordingsonderzoeken of rapportages daarover;
  • b. een beschrijving van de exitstrategie;
  • c. de wijze waarop de leverancier zijn leveranciers beoordeeld, onder meer voor ketenrisico’s;
  • d. de beoordeling van de opzet, bestaan en, bij de eerste actualisatie, de werking van de maatregelen;
  • e. de afweging dat de risico’s voldoende gemitigeerd worden met eventuele rest-risico’s en de borging daarvan.

4. Hoe is geregeld dat de CSP controle en verantwoordingsonderzoeken toelaat of daarover rapporteert. Er bestaat een 'right-to audit' voor de opdrachtgevende organisatie of is er hierover contractueel voldoende zekerheid via (SLM).


Bovenliggende principe(s)

Deze norm realiseert het principe Risicoafweging bij de selectie van een clouddienst van een CSP via de conformiteitsindicator DPIA.

Grondslag

De grondslag voor dit principe is RCB-voorwaarde 6 IK-voorwaarde 4 en 6 en IK-bijlage 1 en 2

Een bepaald voorkomen van iets.

Naar de pagina met de definitie van ‘versie’

Het geheel van bewerkingen die worden uitgevoerd op persoonsgegevens

Naar de pagina met de definitie van ‘verwerking’

Een entiteit bestaande uit mensen die samenwerken om specifieke doelen te bereiken.

Naar de pagina met de definitie van ‘organisatie’

Een fundamentele en algemeen toepasbare regel, gebaseerd op een overtuiging en die geldt als richtlijn.

Naar de pagina met de definitie van ‘principe’

De wet- en regelgeving en/of het beleid die van toepassing zijn.

Naar de pagina met de definitie van ‘grondslag’

Een entiteit die een dienst levert aan een andere entiteit.

Naar de pagina met de definitie van ‘dienstverlener’
Overgenomen van "https://www.noraonline.nl/index.php?title=Integrale_risicoanalyse_en_beheersmaatregelen_voor_cloudgebruik_binnen_de_CSC&oldid=98227"