IM_CL.04

De organisatie (de afnemer, de klant) MOET de beveiligingsvereisten en goede praktijken aangegeven die door de clouddienstleveranciers dienen te worden geïmplementeerd en voortdurend gemonitord. 

De organisatie MOET minimaal het volgende definiëren en contractueel vastleggen: 

• Alle relevante en van toepassing zijnde informatiebeveiligingseisen (zoals gedefinieerd in de andere beleidsdomeinen) in verband met het gebruik van de clouddiensten; 

• Selectiecriteria voor clouddiensten en de reikwijdte van het gebruik van clouddiensten; 

• Rollen en verantwoordelijkheden met betrekking tot het gebruik en beheer van clouddiensten; 

• Welke beheersmaatregelen voor informatiebeveiliging door de aanbieder van de clouddienst worden beheerd en welke door de afnemer van de clouddienst; 

• Hoe zekerheid kan worden verkregen over de door aanbieders van clouddiensten geïmplementeerde beheersmaatregelen voor informatiebeveiliging (= auditrecht); 

• Hoe beheersmaatregelen, interfaces en wijzigingen aan diensten behoren te worden beheerd wanneer een organisatie gebruikmaakt van meerdere clouddiensten, met name van verschillende aanbieders van clouddiensten; 

• Procedures voor het omgaan met informatiebeveiligingsincidenten die zich voordoen met betrekking tot het gebruik van clouddiensten; 

• De aanpak voor het monitoren, beoordelen en evalueren van het doorlopend gebruik van clouddiensten om informatiebeveiligingsrisico's te beheren; 

• Hoe het gebruik van clouddiensten kan worden gewijzigd of beëindigd, met inbegrip van exit strategieën. 

Beveiligingseisen: algemeen

1 2 3 4 5

BESCHIKBAARHEID INTEGRITEIT VERTROUWELIJKHEID

PREVENTIEF

BESCHERMEN