Atlassian uses cookies to improve your browsing experience, perform analytics and research, and conduct advertising. Accept all cookies to indicate that you agree to our use of cookies on your device.
Atlassian uses cookies to improve your browsing experience, perform analytics and research, and conduct advertising. Accept all cookies to indicate that you agree to our use of cookies on your device. Atlassian cookies and tracking notice, (opens new window)
Digitaal Vlaanderen | Team Informatieveiligheid (TIV)
IM_SU.10
GEVALIDEERD
Implementatiemaatregel
Relevante eisen rondom formele verantwoording middels certificering en/of attesten ZOUDEN kunnen worden vastgesteld en met de leverancier contractueel worden overeengekomen. Hierbij dient het volgende in ogenschouw te worden genomen:
De verplichting van de leverancier om een industrie informatiebeveiligingscertificaat te hebben of te behalen voor de diensten en producten in scope van de overeenkomst, zoals ISO/IEC 27001, CyFun zekerheidsniveau of equivalent.
Aanvullend op de plicht van ISO/IEC 27001 certificering of een CyFun zekerheidsniveau: Voor producten en diensten van informatieklasse 3 of hoger, de verplichting van de leverancier om de doeltreffendheid en effectiviteit van beheersmaatregelen te laten toetsen en rapporteren middels een industrie-gebaseerde attest door een onafhankelijke geaccrediteerde auditor.
Richtlijn voor attesten rapportage:
Informatieklasse 1: Geen specifieke eisen voor attesten
Informatieklasse 2: SSAE SOC 3 of equivalent
Informatieklasse 3: Type 1 van ISAE 3000/3402, SSAE SOC1/2 of equivalent
Informatieklasse 4: Type 2 van ISAE 3000/3402, SSAE SOC1/2 of equivalent
Informatieklasse 5: Type 2 van ISAE 3000/3402, SSAE SOC1/2 of maatwerkattest als de standaard rapportage niet de gehele scope of het risico afdekt
