Middlewarearchitectuur en certificering

Beveiligingsprincipe
ID:	MDW_B.04
Versie:	1.3
Status:	Actueel
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:	Structuur

Objectdefinitie

Op marktstandaards gebaseerde en gecertificeerde middleware-inrichting en –dienstverlening.

Objecttoelichting

Het beperken van beveiligingsrisico’s begint bij het selecteren van de juiste IT- of cloud-leverancier. Klantorganisaties zijn bij hun selectieproces in hoge mate afhankelijk van relevante certificeringen van leveranciers en van onafhankelijke onderzoeken naar de actuele status daarvan. Cruciaal is dat leveranciers de kwaliteit van hun dienstverlening baseren op internationale standaarden, zoals National Institute of Standards and Technology (NIST) en Cloud Industry Forum (CIF) voor Cloud en dat zij hun processen uit eigen beweging, periodiek laten toetsen.

Voor klant-organisaties die hun IT-diensten betrekken van interne IT-leveranciers of organisaties die hun integratieservices delen met partnerorganisaties, geldt dat er naast certificeringen voldoende wederzijdse transparantie moet bestaan om connectiviteit en interoperabiliteit in samenhang veilig in te richten en te beheersen.

Criterium

De leverancier hanteert relevante industriestandaards voor de structuur en beheersing van haar IT dienstverlening en draagt zorg voor relevante periodieke certificeringen van haar dienstverlening.

Doelstelling

Het bieden van het gewenste niveau van zekerheid aan klant-organisaties.

Risico

Ontbrekende of onvoldoende geborgde middlewarearchitectuur en certificering kan ertoe leiden dat klantorganisaties onvoldoende zekerheid hebben over de kwaliteit en beveiliging van middleware-dienstverlening, waardoor zij beperkt kunnen sturen op de beschikbaarheid, integriteit en vertrouwelijkheid van data en onvoldoende garanties hebben dat de benodigde functionaliteit voor hun bedrijfsprocessen betrouwbaar beschikbaar is.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Beleid;
valt binnen de Invalshoek Structuur.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is ISO 27040 2016 7.7.4 of 7.7.5

Onderliggende normen

ID	Conformiteitsindicator	Stelling
MDW_B.04.01	Structuur	De structuur van organisatie en techniek, geleverd door interne IT- leveranciers of partnerorganisaties bevat de volgende aspecten: beveiligingsbeleid van de klantorganisatie op basis van principes en wet- en regelgeving; functioneel: type en scope van de middlewarediensten; zoneringsmodel voor scheiding tussen organisatie van klanten; trust framework (afspraken en maatregelen ter bevordering van vertrouwensrelatie); risicomanagement; beschrijving van de samenhang op hoofdlijnen.
MDW_B.04.02	Structuur	De structuur geleverd door de externe IT- en cloud-leveranciers voldoet aan relevante internationale standaarden zoals bijvoorbeeld NIST en CIF of gelijkwaardig.
MDW_B.04.03	Certificeringen	IT-leveranciers die de CIF-Code of Practice (of gelijkwaardig) naleven, zullen zich op een open en transparante manier gedragen, wat rationele besluitvorming en beheer door inkopers van hun diensten mogelijk maakt.