Versions Compared

Old Version 28

changes.mady.by.user Vincent Alwicher

Saved on

compared with

New Version 29

changes.mady.by.user Vincent Alwicher

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Excerpt
nameInleiding

Cloudbeveiliging richt zich op het beveiligen van infrastructuur en systemen voor cloud computing. Dit beleidsdomein omvat richtlijnen en beste praktijken die cloud computing-omgevingen en de gegevens die worden verwerkt in de cloud, dienen te beschermen. In principe gelden veelal dezelfde regels zoals deze zijn gedefinieerd in de verschillende beleidsdomeinen. Deze zullen in dit beleidsdomein niet worden herhaald. De inhoud op deze pagina richt zich uitsluitend op aanvullende specifieke eisen voor cloud computing, bovenop de bestaande eisen. Daarnaast zijn aanvullende richtsnoeren toegevoegd uit de ISO-norm 27017 voor cloud computing voor zowel cloudaanbieders als cloudafnemers. Tot slot, dit is geen technische security standaard voor cloud oplossingen. Refereer naar de vendors (Amazon, Microsoft, etc) voor technische configuratie baselines.

Inhoud

Table of Contents
maxLevel3
minLevel1
include
outlinefalse
indent
excludeInhoud
typelist
printabletrue
class

Doel

(blue star) DOELSTELLINGEN

Het beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie:

Filter by label (Content by label)
showLabelsfalse
showSpacefalse
excerptTyperich content
cqllabel = "doelstellingen" and label = "cloud"

(blue star) DREIGINGEN

Het beleid draagt bij om de volgende dreigingen te verminderen of te voorkomen:

Filter by label (Content by label)
showLabelsfalse
sorttitle
showSpacefalse
cqllabel = "dreiging" and label = "cloud"

Beleid

Rollen en verantwoordelijkheden

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

De organisatie (de afnemer, de klant) MOET de rollen en verantwoordelijkheden van alle betrokkenen (incl. aanbieder, afnemer en eventueel onderaannemers) in kaart brengen en contractueel vastleggen voor iedere clouddienst.  Het gebruik van clouddiensten MAG gepaard gaan met een gedeelde verantwoordelijkheid voor informatiebeveiliging en samenwerking tussen de aanbieder van de clouddienst en de organisatie die als afnemer van de clouddienst optreedt.

Afhankelijk van de gekozen cloud variant worden verantwoordelijkheden doorgaans op de volgende manieren verdeeld:

  1. Infrastructure as a Service (IaaS):

    • Verantwoordelijkheid van de aanbieder: Beveiliging van de cloudinfrastructuur, zoals fysieke beveiliging van datacenters, netwerkbeveiliging en virtualisatiebeveiliging.

    • Verantwoordelijkheid van de afnemer: Beveiliging van besturingssystemen, applicaties, gegevens, toegangscontrole, firewall-configuratie, encryptie en beveiligingspatches.

  2. Platform as a Service (PaaS):

    • Verantwoordelijkheid van de aanbieder: Beveiliging van de platforminfrastructuur, inclusief beveiliging van het besturingssysteem, databases, middleware en ontwikkeltools.

    • Verantwoordelijkheid van de afnemer: Beveiliging van de ontwikkelde applicaties, configuratie van toegangscontroles, encryptie van gegevens (DIM, DAR) en bescherming tegen aanvallen zoals bijvoorbeeld SQL-injecties en cross-site scripting (XSS).

  3. Software as a Service (SaaS):

    • Verantwoordelijkheid van de aanbieder: Volledige verantwoordelijkheid voor de beveiliging van de applicatie-infrastructuur, inclusief gegevensbeveiliging, toegangscontrole, authenticatie, autorisatie, encryptie en naleving van regelgeving.

    • Verantwoordelijkheid van de afnemer: Beheer van gebruikerstoegang en -rechten binnen de applicatie, configuratie van beveiligingsinstellingen zoals wachtwoordbeleid en multifactorauthenticatie (MFA), en naleving van regelgeving met betrekking tot gegevens die worden verwerkt in de SaaS-applicatie.

Risicobeheer

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

De organisatie (de afnemer, de klant) MOET relevante risicobeoordelingen uitvoeren om de informatieveiligheidsrisico's in verband met het gebruik van clouddiensten te identificeren en de organisatie MOET een risicobehandelplan opstellen conform het risicobeheerbeleid. Het eigenaarschap van gegevensverwerking bij clouddiensten ligt bij de organisatie (de afnemer, de klant) en daarmee ook alle bijkomende risico’s.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

Het risicobeheer van de organisatie (de afnemer, de klant) MOET de specifieke risico’s met betrekking tot het beheer van persoonsgegevens (ivm GDPR/AVG wetgeving) binnen clouddiensten specifiek beoordelen. 

Beveiligingseisen

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

De organisatie (de afnemer, de klant) MOET de beveiligingsvereisten en goede praktijken aangegeven die door de clouddienstleveranciers dienen te worden geïmplementeerd en voortdurend gemonitord. 

De organisatie MOET minimaal het volgende definiëren en contractueel vastleggen: 

  • Alle relevante en van toepassing zijnde informatiebeveiligingseisen (zoals gedefinieerd in de andere beleidsdomeinen) in verband met het gebruik van de clouddiensten; 

  • Selectiecriteria voor clouddiensten en de reikwijdte van het gebruik van clouddiensten; 

  • Rollen en verantwoordelijkheden met betrekking tot het gebruik en beheer van clouddiensten; 

  • Welke beheersmaatregelen voor informatiebeveiliging door de aanbieder van de clouddienst worden beheerd en welke door de afnemer van de clouddienst; 

  • Hoe zekerheid kan worden verkregen over de door aanbieders van clouddiensten geïmplementeerde beheersmaatregelen voor informatiebeveiliging (= auditrecht); 

  • Hoe beheersmaatregelen, interfaces en wijzigingen aan diensten behoren te worden beheerd wanneer een organisatie gebruikmaakt van meerdere clouddiensten, met name van verschillende aanbieders van clouddiensten; 

  • Procedures voor het omgaan met informatiebeveiligingsincidenten die zich voordoen met betrekking tot het gebruik van clouddiensten; 

  • De aanpak voor het monitoren, beoordelen en evalueren van het doorlopend gebruik van clouddiensten om informatiebeveiligingsrisico's te beheren; 

  • Hoe het gebruik van clouddiensten kan worden gewijzigd of beëindigd, met inbegrip van exit strategieën. 

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

De organisatie MOET ‘vendor lock-in’ voorkomen door voor de producten van iedere cloud leverancier een uitfaseer strategie te definiëren en periodiek te evalueren op dit principe.

Bij grote contracten is het soms moeilijk om ‘vendor lock-in’ te voorkomen omdat de contracten in kwestie een groot deel van de infrastructuur overspannen en er daarom enorme kosten en inspanningen nodig zijn om te wisselen tussen aanbieders. In dat soort gevallen is het belangrijk om een strategie om weg te migreren te onderhouden en de aanbieder voldoende te auditeren om eventuele risico’s op tijd te signaleren. Wanneer het mogelijk is dienen ook terugval mogelijkheden onderhouden worden; in ieder geval voor de meer kritische diensten van de organisatie.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

Wanneer de clouddienst aanbieder backup functionaliteiten aanbiedt MOETEN de volgende aspecten beschikbaar zijn voor de organisatie: 

  • Scope en planning voor de backups; 

  • Backup methodieken en data formats, inclusief encryptie wanneer relevant; 

  • Retentie periodes voor backups; 

  • Procedures en tijdslijnen voor het herstellen van data; 

  • Opslag locatie voor backups. 

Leveranciersovereenkomsten

Zie het beleidsdomein Leveranciersrelaties voor meer details over het afsluiten van een afsprakenkader met leveranciers.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

De overeenkomst tussen de organisatie (de afnemer, de klant) en de aanbieder van een clouddienst MOET minimaal de volgende bepalingen bevatten voor de bescherming van de gegevens van de organisatie en de beschikbaarheid van diensten:

  • Het leveren van oplossingen op basis van door de industrie aanvaarde normen voor architectuur en infrastructuur; 

  • Het beheren van toegangsbeveiligingsmaatregelen van de clouddienst conform de eisen van de organisatie; 

  • Het implementeren van oplossingen voor het monitoren van en beschermen tegen malware; 

  • Het verwerken en opslaan van gevoelige informatie van de organisatie op goedgekeurde locaties (bijv. een bepaald land of bepaalde regio) of binnen een bepaald rechtsgebied of krachtens een bepaalde rechtsbevoegdheid; 

  • Het bieden van gerichte steun indien er zich een informatiebeveiligingsincident voordoet in de cloudomgeving; 

  • Het bewerkstelligen dat aan de informatiebeveiligingseisen van de organisatie wordt voldaan indien clouddiensten verder worden uitbesteed aan een externe leverancier (of verbieden dat clouddiensten worden uitbesteed); 

  • De eisen voor netwerksegregatie vanuit de organisatie; 

  • Het ondersteunen van de organisatie bij het verzamelen van digitaal bewijsmateriaal, met inachtneming van wet- en regelgeving inzake digital bewijsmateriaal in verschillende rechtsgebieden; 

  • Het voorzien in passende ondersteuning en beschikbaarheid van diensten gedurende een passend tijdsbestek wanneer de organisatie niet langer gebruik wil maken van de clouddienst; 

  • Het voorzien in de vereiste back-ups van gegevens en configuratie-informatie en het veilig beheren van back-ups voor zover van toepassing, op basis van de capaciteiten van de leverancier van de clouddienst die wordt ingezet door de organisatie in haar rol als afnemer van de clouddienst; 

  • Het verstrekken en retourneren van informatie zoals configuratiebestanden, broncode en gegevens die eigendom zijn van de organisatie in haar rol van afnemer van de clouddienst op verzoek of bij beëindiging van de dienst; 

  • Maatregelen die veilige verwijdering (secure disposal) van data en middelen garanderen;

  • Notificatie procedures bij datalekken. 

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

De organisatie (de afnemer, de klant) MOET de overeenkomsten (contracten) met de aanbieder van clouddiensten minimaal één keer per jaar evalueren.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

De organisatie (de afnemer, de klant) van de clouddienst MOET door de aanbieder van de clouddienst op voorhand op de hoogte gesteld worden van toekomstige wezenlijke wijzigingen aan hoe diensten worden geleverd, waaronder:

  • Wijzigingen aan de technische infrastructuur (bijv. verhuizing, herconfiguratie of wijzigingen in hardware of software) die van invloed zijn op, of tot veranderingen leiden in, de aangeboden clouddienst; 

  • Het verwerken of opslaan van informatie in een nieuw geografisch of juridisch rechtsgebied; 

  • Het gebruik van collega-aanbieders van clouddiensten of andere onderaannemers (met inbegrip van het wijzigen van bestande of het gebruik van nieuwe partijen). 

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

De organisatie (de afnemer, de klant) die clouddiensten gebruikt MOET nauw contact onderhouden met haar aanbieders van de clouddiensten. Deze contacten MOETEN wederzijdse uitwisseling van informatie over informatiebeveiliging mogelijk maken, met inbegrip van een mechanisme voor zowel de aanbieder als de organisatie om elk kenmerk van de diensten te monitoren en tekortkomingen ten opzichte van de in de overeenkomsten opgenomen verbintenissen te melden.

Appendix

Aanvullende richtsnoer

De volgende tabel levert gedetailleerde informatie over specifieke beheersmaatregelen die overwogen dienen te worden bij het opstellen van de informatiebeveiligingseisen voor cloud computing diensten en het contractueel vastleggen van deze eisen met leveranciers. Hierbij is er onderscheid gemaakt tussen wat de organisatie (de afnemer, de klant) zou moeten doen en wat de aanbieder zou moeten doen.

Onderwerp

Afnemer

Aanbieder

Beleidsregels voor informatiebeveiliging

Een informatiebeveiligingsbeleid voor cloud computing moet worden gedefinieerd als een onderwerpspecifiek beleid van de klant van de cloudservice. Het informatiebeveiligingsbeleid van de klant van de cloudservice voor cloud computing moet consistent zijn met de aanvaardbare niveaus van informatiebeveiligingsrisico's van de organisatie voor haar informatie en andere activa.
Bij het definiëren van het informatiebeveiligingsbeleid voor cloud computing moet de klant van de cloudservice rekening houden met het volgende:
– informatie die in de cloud computing-omgeving is opgeslagen, kan worden geraadpleegd en beheerd door de aanbieder van clouddiensten;
– activa kunnen worden onderhouden in de cloud computing-omgeving, bijv. applicatieprogramma's;
– processen kunnen draaien op een multi-tenant, gevirtualiseerde clouddienst;
– de gebruikers van de clouddienst en de context waarin zij de clouddienst gebruiken;
– de beheerders van de clouddienst van de klant van de clouddienst die bevoorrechte toegang hebben;
– de geografische locaties van de organisatie van de cloudserviceprovider en de landen waar de cloudserviceprovider de klantgegevens van de cloudservice (zelfs tijdelijk) kan opslaan.

De aanbieder van clouddiensten moet zijn informatiebeveiligingsbeleid uitbreiden om de levering en het gebruik van zijn clouddiensten aan te pakken, rekening houdend met het volgende:
– de basiseisen inzake informatiebeveiliging die van toepassing zijn
tot het ontwerp en de implementatie van de clouddienst;
– risico's van geautoriseerde insiders;
– multi-tenancy en cloud service klantisolatie (inclusief virtualisatie);
– toegang tot de activa van klanten van de clouddienst door het personeel van de aanbieder van de clouddienst;
– procedures voor toegangscontrole, bijvoorbeeld sterke authenticatie voor administratieve toegang tot clouddiensten;
– communicatie met klanten van clouddiensten tijdens wijzigingsbeheer;
– Virtualisatie beveiliging;
– toegang tot en bescherming van klantgegevens van clouddiensten;
– levenscyclusbeheer van klantaccounts van clouddiensten;
– Communicatie over inbreuken en richtsnoeren voor het delen van informatie ter ondersteuning van onderzoeken en forensisch onderzoek.

Rollen en verantwoordelijkheden bij informatiebeveiliging

De klant van de cloudservice moet met de aanbieder van de cloudservice overeenstemming bereiken over een passende toewijzing van rollen en verantwoordelijkheden op het gebied van informatiebeveiliging en bevestigen dat hij de aan hem toegewezen rollen en verantwoordelijkheden kan vervullen. De taken en verantwoordelijkheden van beide partijen op het gebied van informatiebeveiliging moeten in een overeenkomst worden vastgelegd.
De klant van de cloudservice moet zijn relatie met de klantenservice en zorgfunctie van de cloudserviceprovider identificeren en beheren.

De aanbieder van clouddiensten moet een passende toewijzing van rollen en verantwoordelijkheden op het gebied van informatiebeveiliging overeenkomen en documenteren met zijn klanten van clouddiensten, zijn aanbieders van clouddiensten en zijn leveranciers.

Contact met overheidsinstanties

De klant van de clouddienst moet de autoriteiten identificeren die relevant zijn voor de gecombineerde werking van de klant van de clouddienst en de aanbieder van de clouddienst.

De aanbieder van clouddiensten moet de klant van de clouddienst informeren over de geografische locaties van de organisatie van de aanbieder van clouddiensten en de landen waar de aanbieder van de clouddienst de klantgegevens van de clouddienst kan opslaan.

Gedeelde rollen en verantwoordelijkheden binnen een cloud computing-omgeving

De klant van de cloudservice moet zijn bestaande beleid en procedures definiëren of uitbreiden in overeenstemming met zijn gebruik van cloudservices, en gebruikers van cloudservices bewust maken van hun rollen en verantwoordelijkheden bij het gebruik van de cloudservice.

De aanbieder van clouddiensten moet zijn capaciteiten, rollen en verantwoordelijkheden op het gebied van informatiebeveiliging voor het gebruik van zijn cloudservice documenteren en communiceren, samen met de rollen en verantwoordelijkheden op het gebied van informatiebeveiliging die de klant van de cloudservice zou moeten implementeren en beheren als onderdeel van zijn gebruik van de cloudservice.

Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging

De klant van de cloudservice moet de volgende items toevoegen aan bewustmakings-, opleidings- en trainingsprogramma's voor bedrijfsmanagers van cloudservices, beheerders van cloudservices, integrators van cloudservices en gebruikers van cloudservices, met inbegrip van relevante werknemers en contractanten:
– normen en procedures voor het gebruik van clouddiensten;
– informatiebeveiligingsrisico's met betrekking tot clouddiensten en de wijze waarop die risico's worden beheerd;
– risico's in de systeem- en netwerkomgeving bij het gebruik van clouddiensten;
– toepasselijke wet- en regelgeving.
Bewustmakings-, opleidings- en opleidingsprogramma's over informatiebeveiliging over clouddiensten moeten worden aangeboden aan het management en de toezichthoudende managers, met inbegrip van die van bedrijfseenheden. Deze inspanningen ondersteunen een effectieve coördinatie van activiteiten op het gebied van informatiebeveiliging.

De aanbieder van clouddiensten moet werknemers bewustwording, opleiding en training bieden en contractanten verzoeken hetzelfde te doen met betrekking tot de juiste omgang met klantgegevens van clouddiensten en van clouddiensten afgeleide gegevens. Deze gegevens kunnen informatie bevatten die vertrouwelijk is voor een klant van een cloudservice of onderworpen zijn aan specifieke beperkingen, waaronder wettelijke beperkingen, op toegang en gebruik door de cloudserviceprovider.

Disciplinaire procedure

<Geen toevoegingen>

<Geen toevoegingen>

Beëindiging of wijziging van verantwoordelijkheden van het dienstverband

<Geen toevoegingen>

<Geen toevoegingen>

Inventariseren van bedrijfsmiddelen

In de inventaris van activa van de cloudserviceklant moet rekening worden gehouden met informatie en bijbehorende activa die zijn opgeslagen in de cloud computing-omgeving. In de gegevens van de inventaris moet worden aangegeven waar de activa worden bewaard, bijvoorbeeld de identificatie van de clouddienst.

In de inventaris van activa van de aanbieder van clouddiensten moet expliciet het volgende worden vermeld:
– klantgegevens van clouddiensten;
– Van clouddiensten afgeleide gegevens.

Eigendom van bedrijfsmiddelen

<Geen toevoegingen>

<Geen toevoegingen>

Aanvaardbaar gebruik van gebruiksmiddelen

<Geen toevoegingen>

<Geen toevoegingen>

Teruggeven van bedrijfsmiddelen

<Geen toevoegingen>

<Geen toevoegingen>

Verwijdering van cloud-service klantendata en assets

De klant van de cloudservice moet vragen om een gedocumenteerde beschrijving van het proces voor beëindiging van de service die betrekking heeft op het retourneren en verwijderen van de activa van de cloudserviceklant, gevolgd door de verwijdering van alle kopieën van die activa uit de systemen van de cloudserviceprovider.
De beschrijving moet alle activa vermelden en het schema voor de beëindiging van de service documenteren, die tijdig moet plaatsvinden.

De aanbieder van clouddiensten moet informatie verstrekken over de regelingen voor de teruggave en verwijdering van activa van klanten van clouddiensten bij beëindiging van de overeenkomst voor het gebruik van een clouddienst.
De regelingen voor de teruggave en verwijdering van activa moeten worden gedocumenteerd in de overeenkomst en moeten tijdig worden uitgevoerd. In de regelingen moet worden gespecificeerd welke activa moeten worden teruggegeven en verwijderd.

Classificatie van informatie

<Geen toevoegingen>

<Geen toevoegingen>

Informatie labelen

De klant van de cloudservice moet informatie en bijbehorende activa die in de cloud computing-omgeving worden onderhouden, labelen in overeenstemming met de door de klant van de cloudservice vastgestelde procedures voor labeling. Indien van toepassing kan de functionaliteit van de cloudserviceprovider die etikettering ondersteunt, worden overgenomen.

De aanbieder van clouddiensten moet alle servicefunctionaliteit die hij biedt, documenteren en openbaar maken, zodat klanten van clouddiensten hun informatie en bijbehorende activa kunnen classificeren en labelen.

Behandelen van bedrijfsmiddelen

<Geen toevoegingen>

<Geen toevoegingen>

Beheer van verwijderbare media

<Geen toevoegingen>

<Geen toevoegingen>

Verwijderen van media

<Geen toevoegingen>

<Geen toevoegingen>

Media fysiek overdragen

<Geen toevoegingen>

<Geen toevoegingen>

Beleid voor toegangsbeveiliging

<Geen toevoegingen>

<Geen toevoegingen>

Toegang tot netwerken en netwerkdiensten

In het toegangscontrolebeleid van de klant van Toegang tot netwerken en netwerkdiensten

In het toegangscontrolebeleid van de klant van de cloudservice voor het gebruik van netwerkservices moeten vereisten worden gespecificeerd voor gebruikerstoegang tot elke afzonderlijke cloudservice die wordt gebruikt.

<Geen toevoegingen>-

Registratie en afmelden van gebruikers

<Geen toevoegingen>-

Om de toegang tot clouddiensten voor de gebruikers van clouddiensten van een cloudserviceklant te beheren, moet de cloudserviceprovider gebruikersregistratie- en uitschrijvingsfuncties en specificaties voor het gebruik van deze functies aan de klant van de cloudservice verstrekken.

Gebruikers toegang verlenen

<Geen toevoegingen>-

De aanbieder van clouddiensten moet voorzien in functies voor het beheer van de toegangsrechten van de gebruikers van de clouddienstenklant van de clouddienst, en in specificaties voor het gebruik van deze functies.

Beheren van speciale toegangsrechten

De klant van de clouddienst moet voldoende authenticatietechnieken gebruiken (bv. multi-factor authenticatie) om de beheerders van de cloudservice van de klant van de cloudservice te authenticeren voor de administratieve mogelijkheden van een cloudservice op basis van de geïdentificeerde risico's.

De aanbieder van clouddiensten moet voorzien in voldoende authenticatietechnieken voor het verifiëren van de beheerders van clouddiensten van de klant van de clouddienst voor de administratieve mogelijkheden van een clouddienst, in overeenstemming met de geïdentificeerde risico's. De cloudserviceprovider kan bijvoorbeeld mogelijkheden voor multi-factor authenticatie bieden of het gebruik van multi-factor authenticatiemechanismen van derden mogelijk maken.

Beheer van geheime authenticatie-informatie van gebruikers

De klant van de cloudservice moet controleren of de beheerprocedure van de cloudserviceprovider voor het toewijzen van geheime authenticatiegegevens, zoals wachtwoorden, voldoet aan de vereisten van de klant van de cloudservice.

De aanbieder van clouddiensten moet informatie verstrekken over procedures voor het beheer van de geheime authenticatie-informatie van de klant van de cloudservice, met inbegrip van de procedures voor de toewijzing van dergelijke informatie en voor de authenticatie van de gebruiker.

Beoordeling van toegangsrechten van gebruikers

<Geen toevoegingen>

<Geen toevoegingen>

Toegangsrechten intrekken of aanpassen

<Geen toevoegingen>

<Geen toevoegingen>

Geheime authenticatie-informatie gebruiken

<Geen toevoegingen>

<Geen toevoegingen>

Beperking toegang tot informatie

De Beperking toegang tot informatie

De klant van de clouddienst dient ervoor te zorgen dat de toegang tot informatie in de clouddienst kan worden beperkt in overeenstemming met zijn toegangscontrolebeleid en dat dergelijke beperkingen worden gerealiseerd. Dit omvat het beperken van de toegang tot cloudservices, cloudservicefuncties en klantgegevens van cloudservices die in de service worden bijgehouden.

De aanbieder van clouddiensten moet toegangscontroles uitvoeren waarmee de klant van de clouddienst de toegang tot zijn clouddiensten, zijn cloudservicefuncties en de klantgegevens van de cloudservice die in de dienst worden bijgehouden, kan beperken.

Beveiligde inlogprocedures

<Geen toevoegingen>

<Geen toevoegingen>

Systeem voor wachtwoordbeheer

<Geen toevoegingen>

<Geen toevoegingen>

Speciale systeemhulpmiddelen gebruiken

Waar het gebruik van hulpprogramma's is toegestaan, moet de klant van de cloudservice de hulpprogramma's identificeren die in zijn cloud computing-omgeving moeten worden gebruikt en ervoor zorgen dat deze de controles van de cloudservice niet verstoren.

De cloudserviceprovider moet de vereisten identificeren voor alle hulpprogramma's die binnen de cloudservice worden gebruikt.
De aanbieder van clouddiensten moet ervoor zorgen dat elk gebruik van hulpprogramma's die de normale werkings- of beveiligingsprocedures kunnen omzeilen, strikt beperkt is tot geautoriseerd personeel en dat het gebruik van dergelijke programma's regelmatig wordt beoordeeld en gecontroleerd.

Toegangsbeveiliging op programmabroncode

<Geen toevoegingen>

<Geen toevoegingen>

Segregatie in virtuele computeromgevingen

<Geen toevoegingen>-

De aanbieder van cloudservices moet een passende logische scheiding afdwingen van klantgegevens van cloudservices, gevirtualiseerde applicaties, besturingssystemen, opslag en netwerk voor:
– de scheiding van de middelen die door klanten van clouddiensten worden gebruikt in multi-tenant omgevingen;
– de scheiding tussen het interne beheer van de aanbieder van de clouddienst en de middelen die door de klanten van de clouddienst worden gebruikt.
Wanneer de cloudservice multi-tenancy inhoudt, moet de cloudserviceprovider informatiebeveiligingscontroles implementeren om te zorgen voor een passende isolatie van bronnen die door verschillende tenants worden gebruikt.
De aanbieder van clouddiensten moet rekening houden met de risico's die verbonden zijn aan het uitvoeren van door de klant geleverde software voor clouddiensten binnen de clouddiensten die door de aanbieder van clouddiensten worden aangeboden.

Virtuele machine-hardening

Bij het configureren van virtuele machines moeten klanten van cloudservices en cloudserviceproviders ervoor zorgen dat de juiste aspecten worden versterkt (bijv. alleen die poorten, protocollen en services die nodig zijn) en dat de juiste technische maatregelen zijn getroffen (bijv. anti-malware, logboekregistratie) voor elke gebruikte virtuele machine.

Bij het configureren van virtuele machines moeten klanten van cloudservices en cloudserviceproviders ervoor zorgen dat de juiste aspecten worden versterkt (bijv. alleen die poorten, protocollen en services die nodig zijn) en dat de juiste technische maatregelen zijn getroffen (bijv. anti-malware, logboekregistratie) voor elke gebruikte virtuele machine.

Beleid inzake het gebruik van cryptografische beheersmaatregelen

De klant van de clouddienst moet cryptografische controles implementeren voor zijn gebruik van clouddiensten indien de risicoanalyse dit rechtvaardigt. De controles moeten krachtig genoeg zijn om de vastgestelde risico's te beperken, ongeacht of die controles worden uitgevoerd door de klant van de clouddienst of door de aanbieder van clouddiensten.
Wanneer de cloudserviceprovider cryptografie aanbiedt, moet de klant van de cloudservice alle informatie die door de cloudserviceprovider is verstrekt, controleren om te bevestigen of de cryptografische mogelijkheden:
– te voldoen aan de beleidsvereisten van de klant van de clouddienst;
– compatibel zijn met elke andere cryptografische beveiliging die wordt gebruikt
door de klant van de clouddienst;
– van toepassing zijn op gegevens in rust en onderweg naar, van en binnen de cloudservice.

De aanbieder van de clouddienst moet de klant van de clouddienst informatie verstrekken over de omstandigheden waarin hij cryptografie gebruikt om de informatie die hij verwerkt te beschermen. De cloudserviceprovider moet ook informatie verstrekken aan de klant van de cloudservice over eventuele mogelijkheden die hij biedt om de klant van de cloudservice te helpen bij het toepassen van zijn eigen cryptografische beveiliging.

Sleutelbeheer

De klant van de cloudservice moet de cryptografische sleutels voor elke cloudservice identificeren en procedures voor sleutelbeheer implementeren.
Wanneer de cloudservice functionaliteit voor sleutelbeheer biedt voor gebruik door de klant van de cloudservice, moet de klant van de cloudservice de volgende informatie opvragen over de procedures die worden gebruikt om sleutels met betrekking tot de cloudservice te beheren:
– type sleutels;
– specificaties van het sleutelbeheersysteem, met inbegrip van procedures voor elke fase van de levenscyclus van sleutels, d.w.z. het genereren, wijzigen of bijwerken, opslaan, buiten gebruik stellen, opvragen, bewaren en vernietigen;
– Aanbevolen procedures voor sleutelbeheer voor gebruik door de klant van de cloudservice.
De klant van de cloudservice mag de cloudserviceprovider niet toestaan de versleutelingssleutels voor cryptografische bewerkingen op te slaan en te beheren wanneer de klant van de cloudservice zijn eigen sleutelbeheer of een afzonderlijke en afzonderlijke sleutelbeheerservice gebruikt.

<Geen toevoegingen>

Fysieke beveiligingszone

<Geen toevoegingen>

<Geen toevoegingen>

Fysieke toegangsbeveiliging

<Geen toevoegingen>

<Geen toevoegingen>

Kantoren, ruimten en faciliteiten beveiligen

<Geen toevoegingen>

<Geen toevoegingen>

Beschermen tegen bedreigingen van buitenaf

<Geen toevoegingen>

<Geen toevoegingen>

Werken in beveiligde gebieden

<Geen toevoegingen>

<Geen toevoegingen>

Laad- en loslocatie

<Geen toevoegingen>

<Geen toevoegingen>

Plaatsing en bescherming van apparatuur

<Geen toevoegingen>

<Geen toevoegingen>

Nutsvoorzieningen

<Geen toevoegingen>

<Geen toevoegingen>

Beveiliging van bekabeling

<Geen toevoegingen>

<Geen toevoegingen>

Onderhoud van apparatuur

<Geen toevoegingen>

<Geen toevoegingen>

Verwijdering van bedrijfsmiddelen

<Geen toevoegingen>

<Geen toevoegingen>

Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein

<Geen toevoegingen>

<Geen toevoegingen>

Veilig verwijderen of hergebruiken van apparatuur

De klant van de cloudservice moet om bevestiging vragen dat de cloudserviceprovider beschikt over het beleid en de procedures voor veilige verwijdering of hergebruik van bronnen.

De aanbieder van clouddiensten moet ervoor zorgen dat er tijdig regelingen worden getroffen voor de veilige verwijdering of het hergebruik van middelen (bijv. apparatuur, gegevensopslag, bestanden, geheugen).

Onbeheerde gebruikersapparatuur

<Geen toevoegingen>

<Geen toevoegingen>

Clear desk’- en ‘clear screen’-beleid

<Geen toevoegingen>

<Geen toevoegingen>

Gedocumenteerde bedieningsprocedures

<Geen toevoegingen>

<Geen toevoegingen>

Wijzigingsbeheer

In het wijzigingsbeheerproces van de klant van de cloudservice moet rekening worden gehouden met de impact van eventuele wijzigingen die door de cloudserviceprovider worden aangebracht.

De aanbieder van de clouddienst moet de klant van de clouddienst informatie verstrekken over wijzigingen in de clouddienst die een negatieve invloed kunnen hebben op de clouddienst. Het volgende helpt de klant van de cloudservice om te bepalen welk effect de wijzigingen kunnen hebben op de informatiebeveiliging:
– categorieën van wijzigingen;
– geplande datum en tijd van de wijzigingen;
– technische beschrijving van de wijzigingen in de clouddienst en onderliggende systemen;
– Kennisgeving van de start en de voltooiing van de wijzigingen.
Wanneer een cloudserviceprovider een cloudservice aanbiedt die afhankelijk is van een peer-cloudserviceprovider, moet de cloudserviceprovider de cloudserviceklant mogelijk op de hoogte stellen van wijzigingen die zijn veroorzaakt door de peer-cloudserviceprovider.

Capaciteitsbeheer

De klant van de cloudservice moet ervoor zorgen dat de overeengekomen capaciteit die door de cloudservice wordt geleverd, voldoet aan de eisen van de klant van de cloudservice.
De klant van de cloudservice moet het gebruik van cloudservices monitoren en zijn capaciteitsbehoeften voorspellen om de prestaties van de cloudservices in de loop van de tijd te garanderen.

De cloudserviceprovider moet de totale resourcecapaciteit bewaken om informatiebeveiligingsincidenten te voorkomen die worden veroorzaakt door tekorten aan resources.

Scheiding van ontwikkel-, test- en productieomgevingen

<Geen toevoegingen>

<Geen toevoegingen>

Beheerder's operationele beveiligingsprocedures

De klant van de cloudservice moet procedures documenteren voor kritieke bewerkingen waarbij een storing onherstelbare schade kan veroorzaken aan activa in de cloud computing-omgeving.
Voorbeelden van de kritieke bewerkingen zijn:
– installatie, wijziging en verwijdering van gevirtualiseerde apparaten zoals servers, netwerken en opslag;
– beëindigingsprocedures voor het gebruik van clouddiensten;
– Back-up en herstel.
In het document moet worden vermeld dat een supervisor toezicht moet houden op deze operaties.

De cloudserviceprovider moet documentatie over de kritieke bewerkingen en procedures verstrekken aan klanten van cloudservices die dit nodig hebben.

Beheersmaatregelen tegen malware

<Geen toevoegingen>

<Geen toevoegingen>

Back-up van informatie

Wanneer de cloudserviceprovider back-upcapaciteit biedt als onderdeel van de cloudservice, moet de klant van de cloudservice de specificaties van de back-upcapaciteit opvragen bij de cloudserviceprovider. De klant van de cloudservice moet ook controleren of hij voldoet aan zijn back-upvereisten.
De klant van de cloudservice is verantwoordelijk voor het implementeren van back-upmogelijkheden wanneer de cloudserviceprovider deze niet biedt.

De cloudserviceprovider moet de specificaties van zijn back-upmogelijkheden aan de klant van de cloudservice verstrekken. De specificaties moeten in voorkomend geval de volgende informatie bevatten:
– omvang en planning van back-ups;
– back--

Veilig verwijderen of hergebruiken van apparatuur

De klant van de cloudservice moet om bevestiging vragen dat de cloudserviceprovider beschikt over het beleid en de procedures voor veilige verwijdering of hergebruik van bronnen.

De aanbieder van clouddiensten moet ervoor zorgen dat er tijdig regelingen worden getroffen voor de veilige verwijdering of het hergebruik van middelen (bijv. apparatuur, gegevensopslag, bestanden, geheugen).

Wijzigingsbeheer

In het wijzigingsbeheerproces van de klant van de cloudservice moet rekening worden gehouden met de impact van eventuele wijzigingen die door de cloudserviceprovider worden aangebracht.

De aanbieder van de clouddienst moet de klant van de clouddienst informatie verstrekken over wijzigingen in de clouddienst die een negatieve invloed kunnen hebben op de clouddienst. Het volgende helpt de klant van de cloudservice om te bepalen welk effect de wijzigingen kunnen hebben op de informatiebeveiliging:
– categorieën van wijzigingen;
– geplande datum en tijd van de wijzigingen;
– technische beschrijving van de wijzigingen in de clouddienst en onderliggende systemen;
– Kennisgeving van de start en de voltooiing van de wijzigingen.
Wanneer een cloudserviceprovider een cloudservice aanbiedt die afhankelijk is van een peer-cloudserviceprovider, moet de cloudserviceprovider de cloudserviceklant mogelijk op de hoogte stellen van wijzigingen die zijn veroorzaakt door de peer-cloudserviceprovider.

Capaciteitsbeheer

De klant van de cloudservice moet ervoor zorgen dat de overeengekomen capaciteit die door de cloudservice wordt geleverd, voldoet aan de eisen van de klant van de cloudservice.
De klant van de cloudservice moet het gebruik van cloudservices monitoren en zijn capaciteitsbehoeften voorspellen om de prestaties van de cloudservices in de loop van de tijd te garanderen.

De cloudserviceprovider moet de totale resourcecapaciteit bewaken om informatiebeveiligingsincidenten te voorkomen die worden veroorzaakt door tekorten aan resources.

Beheerder's operationele beveiligingsprocedures

De klant van de cloudservice moet procedures documenteren voor kritieke bewerkingen waarbij een storing onherstelbare schade kan veroorzaken aan activa in de cloud computing-omgeving.
Voorbeelden van de kritieke bewerkingen zijn:
– installatie, wijziging en verwijdering van gevirtualiseerde apparaten zoals servers, netwerken en opslag;
– beëindigingsprocedures voor het gebruik van clouddiensten;
– Back-up en herstel.
In het document moet worden vermeld dat een supervisor toezicht moet houden op deze operaties.

De cloudserviceprovider moet documentatie over de kritieke bewerkingen en procedures verstrekken aan klanten van cloudservices die dit nodig hebben.

Back-up van informatie

Wanneer de cloudserviceprovider back-upcapaciteit biedt als onderdeel van de cloudservice, moet de klant van de cloudservice de specificaties van de back-upcapaciteit opvragen bij de cloudserviceprovider. De klant van de cloudservice moet ook controleren of hij voldoet aan zijn back-upvereisten.
De klant van de cloudservice is verantwoordelijk voor het implementeren van back-upmogelijkheden wanneer de cloudserviceprovider deze niet biedt.

De cloudserviceprovider moet de specificaties van zijn back-upmogelijkheden aan de klant van de cloudservice verstrekken. De specificaties moeten in voorkomend geval de volgende informatie bevatten:
– omvang en planning van back-ups;
– back-upmethoden en gegevensformaten, met inbegrip van versleuteling, indien van toepassing;
– bewaartermijnen voor back-upgegevens;
– procedures voor het verifiëren van de integriteit van back-upgegevens;
– procedures en tijdschema's voor het herstellen van gegevens vanaf een back-up;
– procedures om de back-upmogelijkheden te testen;
– opslaglocatie van back-ups.
De aanbieder van clouddiensten moet veilige en gescheiden toegang bieden tot back-ups, zoals virtuele snapshots, als een dergelijke dienst wordt aangeboden aan klanten van clouddiensten.

Gebeurtenissen registreren

De klant van de cloudservice moet zijn vereisten voor gebeurtenisregistratie definiëren en controleren of de cloudservice aan die vereisten voldoet.

De cloudserviceprovider moet logboekregistratiemogelijkheden bieden aan de klant van de cloudservice.

Beschermen van informatie in logbestanden

<Geen toevoegingen>

<Geen toevoegingen>

Logbestanden van beheerders en Logbestanden van beheerders en operators

Als een bevoorrechte bewerking wordt gedelegeerd aan de klant van de cloudservice, moeten de bewerking en prestaties van die bewerkingen worden geregistreerd. De klant van de cloudservice moet bepalen of de registratiemogelijkheden van de cloudserviceprovider geschikt zijn of dat de klant van de cloudservice aanvullende registratiemogelijkheden moet implementeren.

<Geen toevoegingen>-

Kloksynchronisatie

De klant van de cloudservice moet informatie opvragen over de kloksynchronisatie die wordt gebruikt voor de systemen van de cloudserviceprovider.

De cloudserviceprovider moet informatie verstrekken aan de klant van de cloudservice over de klok die wordt gebruikt door de systemen van de cloudserviceprovider en informatie over hoe de klant van de cloudservice lokale klokken kan synchroniseren met de klok van de cloudservice.

Monitoring van clouddiensten

De klant van de cloudservice moet bij de cloudserviceprovider informatie opvragen over de servicebewakingsmogelijkheden die beschikbaar zijn voor elke cloudservice.

De aanbieder van clouddiensten moet mogelijkheden bieden die de klant van de clouddienst in staat stellen om specifieke aspecten van de werking van de clouddiensten te monitoren die relevant zijn voor de klant van de clouddienst. Bijvoorbeeld om te monitoren en te detecteren of de cloudservice wordt gebruikt als platform om anderen aan te vallen, of dat er gevoelige gegevens uit de cloudservice worden gelekt. Passende toegangscontroles moeten het gebruik van de bewakingscapaciteiten waarborgen. De mogelijkheden moeten alleen toegang bieden tot informatie over de eigen cloudservice-instanties van de cloudserviceklant.
De cloudserviceprovider moet documentatie van de servicebewakingsmogelijkheden verstrekken aan de klant van de cloudservice.
Monitoring moet gegevens opleveren die consistent zijn met de gebeurtenislogboeken beschreven in clausule 12.4.1 en helpen bij het opstellen van SLA-voorwaarden.

Software installeren op operationele systemen

<Geen toevoegingen>

<Geen toevoegingen>

Beheer van technische kwetsbaarheden

De klant van de cloudservice moet informatie opvragen bij de cloudserviceprovider over het beheer van technische kwetsbaarheden die van invloed kunnen zijn op de geleverde cloudservices. De klant van de cloudservice moet de technische kwetsbaarheden identificeren die hij moet beheren en duidelijk een proces definiëren om deze te beheren.

De aanbieder van de clouddienst moet de klant informatie ter beschikking stellen over het beheer van technische kwetsbaarheden die van invloed kunnen zijn op de geleverde clouddiensten.

Beperkingen voor het installeren van software

<Geen toevoegingen>

<Geen toevoegingen>

Beheersmaatregelen betreffende audits van informatiesystemen

<Geen toevoegingen>

<Geen toevoegingen>

Beheersmaatregelen voor netwerken

<Geen toevoegingen>

<Geen toevoegingen>

Beveiliging van netwerkdiensten

<Geen toevoegingen>

<Geen toevoegingen>

Scheiding in netwerken

De klant van de cloudservice moet zijn vereisten voor het scheiden van netwerken definiëren om tenantisolatie in de gedeelde omgeving van een cloudservice te bereiken en controleren of de cloudserviceprovider aan deze vereisten voldoet.

De aanbieder van clouddiensten moet scheiding van netwerktoegang afdwingen in de volgende gevallen:
– segregatie tussen huurders in een multi-tenant omgeving;
– scheiding tussen de interne
beheeromgeving en de cloud computing-omgeving van de klant van de cloudservice.
In voorkomend geval moet de aanbieder van clouddiensten de klant van de clouddienst helpen bij het verifiëren van de door de aanbieder van clouddiensten geïmplementeerde scheiding.

Afstemming van beveiligingsbeheer voor virtuele en fysieke netwerken

<Geen toevoegingen>-

De aanbieder van clouddiensten moet een informatiebeveiligingsbeleid definiëren en documenteren voor de configuratie van het virtuele netwerk dat consistent is met het informatiebeveiligingsbeleid voor het fysieke netwerk. De cloudserviceprovider moet ervoor zorgen dat de configuratie van het virtuele netwerk overeenkomt met het informatiebeveiligingsbeleid, ongeacht de middelen die zijn gebruikt om de configuratie te maken.

Beleid en procedures voor informatietransport

<Geen toevoegingen>

<Geen toevoegingen>

Overeenkomsten over informatietransport

<Geen toevoegingen>

<Geen toevoegingen>

Elektronische berichten

<Geen toevoegingen>

<Geen toevoegingen>

Vertrouwelijkheids- of geheimhoudingsovereenkomst

<Geen toevoegingen>

<Geen toevoegingen>

Analyse en specificatie van informatiebeveiligingseisen

De klant van de Analyse en specificatie van informatiebeveiligingseisen

De klant van de cloudservice moet zijn informatiebeveiligingsvereisten voor de cloudservice bepalen en vervolgens evalueren of services die door een cloudserviceprovider worden aangeboden, aan deze vereisten kunnen voldoen.
Voor deze evaluatie moet de klant van de cloudservice informatie opvragen over de informatiebeveiligingsmogelijkheden van de cloudserviceprovider.

De cloudserviceprovider moet informatie verstrekken aan de klanten van de cloudservice over de informatiebeveiligingsmogelijkheden die ze gebruiken. Deze informatie moet informatief zijn zonder informatie vrij te geven die nuttig kan zijn voor iemand met kwade bedoelingen.

Toepassingsdiensten op openbare netwerken beveiligen

<Geen toevoegingen>

<Geen toevoegingen>

Transacties van toepassingsdiensten beschermen

<Geen toevoegingen>

<Geen toevoegingen>

Beleid voor beveiligd ontwikkelen

De klant van de cloudservice moet informatie opvragen bij de cloudserviceprovider over het gebruik van veilige ontwikkelingsprocedures en -praktijken door de cloudserviceprovider

De aanbieder van clouddiensten moet informatie verstrekken over zijn gebruik van veilige ontwikkelingsprocedures en -praktijken voor zover dit verenigbaar is met zijn beleid inzake openbaarmaking.

Procedures voor wijzigingsbeheer met betrekking tot systemen

<Geen toevoegingen>

<Geen toevoegingen>

Technische beoordeling van toepassingen na wijziging van besturingsplatform

<Geen toevoegingen>

<Geen toevoegingen>

Beperkingen op wijzigingen aan softwarepakketten

<Geen toevoegingen>

<Geen toevoegingen>

Principes voor engineering van beveiligde systemen

<Geen toevoegingen>

<Geen toevoegingen>

Beveiligde ontwikkelomgeving

<Geen toevoegingen>

<Geen toevoegingen>

Uitbestede softwareontwikkeling

<Geen toevoegingen>

<Geen toevoegingen>

Testen van systeembeveiliging

<Geen toevoegingen>

<Geen toevoegingen>

Systeemacceptatietests

<Geen toevoegingen>

<Geen toevoegingen>

Bescherming van testgegevens

<Geen toevoegingen>

<Geen toevoegingen>beleid inzake openbaarmaking.

Informatiebeveiligingsbeleid voor leveranciersrelaties

De klant van de cloudservice moet de cloudserviceprovider als type leverancier opnemen in zijn informatiebeveiligingsbeleid voor leveranciersrelaties. Dit zal helpen om de risico's te beperken die gepaard gaan met de toegang van de cloudserviceprovider tot en het beheer van de klantgegevens van de cloudservice.

<Geen toevoegingen>-

Opnemen van beveiligingsaspecten in leveranciersovereenkomsten

De klant van de cloudservice moet de rollen en verantwoordelijkheden op het gebied van informatiebeveiliging met betrekking tot de cloudservice bevestigen, zoals beschreven in de serviceovereenkomst. Deze kunnen de volgende processen omvatten:
– bescherming tegen malware;
–backup;
– cryptografische controles;
– beheer van kwetsbaarheden;
– beheer van incidenten;
– controle van de technische naleving;
– Testen van de beveiliging;
–Controle;
– het verzamelen, bijhouden en beschermen van bewijsmateriaal, met inbegrip van logboeken en audittrails;
– bescherming van informatie bij beëindiging van de dienstverleningsovereenkomst;
– authenticatie en toegangscontrole;
– Identiteits- en toegangsbeheer.

De aanbieder van clouddiensten moet als onderdeel van een overeenkomst de relevante informatiebeveiligingsmaatregelen specificeren die de aanbieder van clouddiensten zal implementeren om misverstanden tussen de aanbieder van de clouddienst en de klant van de clouddienst te voorkomen.
De relevante informatiebeveiligingsmaatregelen die de cloudserviceprovider zal implementeren, kunnen variëren, afhankelijk van het type cloudservice dat de klant van de cloudservice gebruikt.

Toeleveringsketen van informatie- en communicatietechnologie

<Geen toevoegingen>-

Als een cloudserviceprovider gebruikmaakt van cloudservices van vergelijkbare cloudserviceproviders, moet de cloudserviceprovider ervoor zorgen dat de informatiebeveiligingsniveaus voor zijn eigen cloudserviceklanten worden gehandhaafd of overschreden.
Wanneer de aanbieder van clouddiensten clouddiensten aanbiedt op basis van een toeleveringsketen, moet de aanbieder van clouddiensten informatiebeveiligingsdoelstellingen aan leveranciers verstrekken en elk van de leveranciers verzoeken risicobeheeractiviteiten uit te voeren om de doelstellingen te bereiken.

Monitoring en beoordeling van dienstverlening van leveranciers

<Geen toevoegingen>

<Geen toevoegingen>

Beheer van veranderingen in dienstverlening van leveranciers

<Geen toevoegingen>

<Geen toevoegingen>

Verantwoordelijkheden en procedures

De klant van de cloudservice moet de toewijzing van verantwoordelijkheden voor het beheer van informatiebeveiligingsincidenten verifiëren en ervoor zorgen dat deze voldoet aan de eisen van de klant van de cloudservice.

Als onderdeel van de servicespecificaties moet de aanbieder van clouddiensten de toewijzing van verantwoordelijkheden en procedures voor het beheer van informatiebeveiligingsincidenten tussen de klant van de cloudservice en de aanbieder van cloudservices definiëren. De aanbieder van de clouddienst moet de klant van de clouddienst voorzien van documentatie met betrekking tot:
– de omvang van informatiebeveiligingsincidenten die de cloud
De serviceprovider rapporteert aan de klant van de cloudservice;
– de mate van openbaarmaking van de opsporing van informatie
beveiligingsincidenten en de daarmee samenhangende reacties;
– de beoogde termijn waarbinnen de kennisgevingen van informatie
er zich beveiligingsincidenten zullen voordoen;
– de procedure voor de melding van informatiebeveiliging
Incidenten;
– contactgegevens voor de behandeling van kwesties met betrekking tot
incidenten op het gebied van informatiebeveiliging;
– eventuele remedies die van toepassing kunnen zijn als bepaalde informatiebeveiligingsincidenten zich voordoen.

Rapportage van informatiebeveiligingsgebeurtenissen

De klant van de cloudservice moet bij de aanbieder van de cloudservice informatie opvragen over de mechanismen voor:
– de klant van de cloudservice om een door hem gedetecteerde gebeurtenis op het gebied van informatiebeveiliging te melden aan de aanbieder van de cloudservice;
– de aanbieder van de clouddienst om rapporten te ontvangen over een door de aanbieder van de clouddienst gedetecteerde gebeurtenis op het gebied van informatiebeveiliging;
– de klant van de cloudservice om de status van een gerapporteerde informatiebeveiligingsgebeurtenis te volgen.

De aanbieder van clouddiensten moet voorzien in mechanismen voor:
– de klant van de clouddienst om een gebeurtenis op het gebied van informatiebeveiliging te melden aan de aanbieder van de clouddienst;
– de aanbieder van de clouddienst om een gebeurtenis op het gebied van informatiebeveiliging te melden aan een klant van de clouddienst;
– de klant van de cloudservice om de status van een gerapporteerde informatiebeveiligingsgebeurtenis te volgen.

Rapportage van zwakke plekken in de informatiebeveiliging

<Geen toevoegingen>

<Geen toevoegingen>

Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen

<Geen toevoegingen>

<Geen toevoegingen>

Respons op informatiebeveiligingsincidenten

<Geen toevoegingen>

<Geen toevoegingen>

Lering uit informatiebeveiligingsincidenten

<Geen toevoegingen>

<Geen toevoegingen>gerapporteerde informatiebeveiligingsgebeurtenis te volgen.

Verzamelen van bewijsmateriaal

De klant van de cloudservice en de cloudserviceprovider moeten overeenstemming bereiken over de procedures om te reageren op verzoeken om mogelijk digitaal bewijs of andere informatie vanuit de cloud computing-omgeving.

De klant van de cloudservice en de cloudserviceprovider moeten overeenstemming bereiken over de procedures om te reageren op verzoeken om mogelijk digitaal bewijs of andere informatie vanuit de cloud computing-omgeving.

Informatiebeveiligingscontinuïteit plannen

<Geen toevoegingen>

<Geen toevoegingen>

Informatiebeveiligingscontinuïteit implementeren

<Geen toevoegingen>

<Geen toevoegingen>

Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren

<Geen toevoegingen>

<Geen toevoegingen>

Beschikbaarheid van informatieverwerkende faciliteiten

<Geen toevoegingen>

<Geen toevoegingen>

Vaststellen van toepasselijke wetgeving en contractuele eisen

De klant van de cloudservice moet er rekening mee houden dat de relevante wet- en regelgeving die van rechtsgebieden kan zijn die van toepassing zijn op de cloudserviceprovider, naast die welke van toepassing zijn op de klant van de cloudservice.
De klant van de cloudservice moet vragen om bewijs van de naleving door de cloudserviceprovider van de relevante regelgeving en normen die vereist zijn voor de activiteiten van de cloudserviceklant. Dergelijk bewijs kunnen de certificeringen zijn die worden geproduceerd door externe auditors.

De aanbieder van de clouddienst moet de klant van de clouddienst informeren over de rechtsgebieden die van toepassing zijn op de clouddienst.
De aanbieder van de clouddienst moet zijn eigen relevante wettelijke vereisten vaststellen (bijv. met betrekking tot versleuteling om persoonlijk identificeerbare informatie (PII) te beschermen). Deze informatie moet ook op verzoek aan de klant van de clouddienst worden verstrekt.
De aanbieder van de clouddienst moet de klant van de clouddienst bewijs leveren van zijn huidige naleving van de toepasselijke wetgeving en contractuele vereisten.

Intellectuele-eigendomsrechten

Het installeren van commercieel gelicentieerde software in een cloudservice kan leiden tot een schending van de licentievoorwaarden voor de software. De klant van de cloudservice moet een procedure hebben voor het identificeren van cloudspecifieke licentievereisten voordat hij toestemming geeft om gelicentieerde software in een cloudservice te installeren. Bijzondere aandacht moet worden besteed aan gevallen waarin de clouddienst elastisch en schaalbaar is en de software op meer systemen of processorkernen kan worden uitgevoerd dan volgens de licentievoorwaarden is toegestaan.

De aanbieder van clouddiensten moet een procedure opzetten voor het reageren op klachten over intellectuele-eigendomsrechten.

Beschermen van registraties

De klant van de cloudservice moet informatie opvragen bij de cloudserviceprovider over de bescherming van gegevens die door de cloudserviceprovider worden verzameld en opgeslagen en die relevant zijn voor het gebruik van cloudservices door de klant van de cloudservice.

De aanbieder van clouddiensten moet informatie verstrekken aan de klant van de clouddienst over de bescherming van gegevens die door de aanbieder van clouddiensten worden verzameld en opgeslagen met betrekking tot het gebruik van clouddiensten door de klant van de clouddienst.

Privacy en bescherming van persoonsgegevens

<Geen toevoegingen>

<Geen toevoegingen>

Voorschriften voor het gebruik van cryptografische beheersmaatregelen

De klant van de clouddienst dient te verifiëren dat de set cryptografische controles die van toepassing zijn op het gebruik van een clouddienst voldoet aan de relevante afspraken, wet- en regelgeving.

De cloudserviceprovider moet beschrijvingen van de cryptografische controles die door de cloudserviceprovider zijn geïmplementeerd aan de cloudserviceklant verstrekken om de naleving van de toepasselijke overeenkomsten, wet- en regelgeving te beoordelen.

Onafhankelijke beoordeling van informatiebeveiliging

De klant van de cloudservice moet om gedocumenteerd bewijs vragen dat de implementatie van informatiebeveiligingscontroles en -richtlijnen voor de cloudservice in overeenstemming is met eventuele claims van de cloudserviceprovider. Dergelijk bewijs kan certificeringen volgens relevante normen omvatten.

De aanbieder van clouddiensten moet gedocumenteerd bewijs verstrekken aan de klant van de clouddienst om zijn bewering te staven dat hij informatiebeveiligingsmaatregelen heeft geïmplementeerd.
Wanneer individuele audits van klanten van clouddiensten onpraktisch zijn of de risico's voor de informatiebeveiliging kunnen vergroten, moet de aanbieder van clouddiensten onafhankelijk bewijs leveren dat de informatiebeveiliging wordt geïmplementeerd en beheerd in overeenstemming met het beleid en de procedures van de aanbieder van clouddiensten. Dit moet beschikbaar worden gesteld aan potentiële klanten van clouddiensten voordat ze een contract aangaan. Een relevante onafhankelijke audit, zoals geselecteerd door de aanbieder van clouddiensten, moet normaliter een aanvaardbare methode zijn om tegemoet te komen aan het belang van de klant van de clouddienst om de activiteiten van de aanbieder van clouddiensten te beoordelen, op voorwaarde dat er voldoende transparantie wordt geboden. Wanneer de onafhankelijke audit onpraktisch is, moet de cloudserviceprovider een zelfbeoordeling uitvoeren en het proces en de resultaten ervan aan de klant van de cloudservice bekendmaken.

Naleving van beveiligingsbeleid en -normen

<Geen toevoegingen>

<Geen toevoegingen>

Beoordeling van technische naleving

<Geen toevoegingen>

<Geen toevoegingen>

Appendix

Relatie van het beleid met andere richtlijnen en standaarden

Regelgeving en standaarden (L1)

ISO 27001:2022 (Annex A)

Page Properties Report
firstcolumnTitel
headingsBeheersmaatregel
sortByTitle
cqllabel = "iso" and label = "cloud" and space = currentSpace ( ) and ancestor = "6329502795"

ISO 27017:2021

ISO 27017 is de code of practice voor beheersmaatregelen voor clouddiensten en bevat aanvullende maatregelen bovenop de bestaande ISO 27001 Annex A. Deze aanvullingen op ISO 27001 zijn verwerkt in het Cloudbeveiligingsbeleid.

Informatieclassificatieraamwerk van de Vlaamse overheid (L2)

Het ICR heeft een aanvullende toelichting op het gebruik van virtuele netwerken en cloud computing. Zie voor meer informatie het ICR portaal.

Vlaamse Toezichtcommissie (VTC)

Het VTC heeft enkele adviezen en richtlijnen gepubliceerd over het verwerken van persoonsgegevens in eigen datacenters of die van al dan niet Europese verwerkers. Deze richtlijnen betreffen de (on)mogelijkheden en voorwaarden voor het gebruik van de publieke cloud. Zie voor meer informatie de Cloud pagina op het VTC portaal.

Document status

Titel

Auteur

Datum

Versie

Status

Opmerkingen

Eerste versie van cloud policy

Bart Breunesse

april 2024

0.1

Update met aanvullende richtlijnen uit ISO 27017 en verwijzing naar de richtlijnen van het VTC

Vincent Alwicher

augustus 2024

0.2

Page Properties
hiddentrue
idDS

Document status (Metadata)

Onderstaande gegevens worden gebruikt voor rapporteringsdoeleinden in documentregister

Auteur

Bart Breunesse

Status

Status
colourYellow
titleCONCEPT

Versie

0.2

status opties:

Status
colourYellow
titleCONCEPT
Status
colourBlue
titleIN REVIEW
Status
colourPurple
titleFINAAL CONCEPT
Status
colourGreen
titleGEVALIDEERD
Status
colourRed
titleTE REVISEREN

status eveneens aanpassen bovenaan deze pagina