Release Status Date Written by Edited by Approved by NL_1.00 Final 19/03/2014

Transcriptie

1 Versie : maart 2014 ISMS (Information Security Management System) Veiligheidspolicy met betrekking tot Cloud Computing Version control please always check if you are using the latest version. Doc. Ref. :isms.050.cloud computing policy.nl.v1.00 Release Status Date Written by Edited by Approved by NL_1.00 Final 19/03/2014 Opmerking: In dit document werd rekening gehouden met de opmerkingen die geformuleerd werden door een werkgroep waaraan de volgende personen hebben deelgenomen: de heer Houbaille (KSZ), Costrop (Smals), Petit (FBZ), Perot (RSZ), Quewet (FOD Volksgezondheid), Symons (RVA), Van Cutsem (RSZPPO), Van der Goten (RIZIV). Maar ook met die van de werkgroep van FEDICT.

2 INHOUDSOPGAVE Veiligheidspolicy met betrekking tot Cloud Computing 1. INLEIDING SCOPE DOELSTELLING RISICO'S VERBONDEN AAN DE "CLOUD" POLICY ALGEMENE DIRECTIVES UITVOERINGSWAARBORG DOOR DE PROVIDER NALEVING VAN DE GOEDE PRAKTIJKEN DOOR DE PROVIDER NALEVING VAN DE WETTELIJKE EN TECHNISCHE VERPLICHTINGEN BIJ DE VERWERKING VAN PERSOONSGEGEVENS BIJLAGE : IS ER EEN VERSCHIL TUSSEN IT-UITBESTEDING EN CLOUD COMPUTING? CLOUD COMPUTING MODELLEN VOORBEREIDING BIJ MIGRATIE NAAR EEN "CLOUD COMPUTING"-INFRASTRUCTUUR REFERENTIES:...10 P 2

3 1. Inleiding De bedoeling van dit document is om de veiligheidseisen vast te leggen wanneer een instelling van sociale zekerheid een beroep wenst te doen op "Cloud Computing"-services. Hierbij is het belangrijk zich ervan te vergewissen dat de "Cloud Computing"-provider voldoende waarborgen biedt op het vlak van de bescherming van de gegevens, de naleving van de privacywet maar ook op het vlak van de duurzame bewaring van de gegevens en van de juridische en technische bepalingen die in acht moeten worden genomen bij de realisatie van de prestaties. In het kader van deze policy wordt onder het begrip "Cloud Computing" verstaan alle "Cloud"-services zoals vastgelegd door het NIST 1 maar ook elke IT-uitbesteding. Bij "Cloud"-services gaat het immers louter om informatica-oplossingen die worden geoutsourcet en waarbij een soepele stockeerruimte gecombineerd wordt met toegankelijkheid van de gegevens van overal ter wereld (zie bijlage 6.1: Is er een verschil tussen ITuitbesteding en Cloud Computing?). 2. Scope Deze policy is bedoeld voor de instellingen van sociale zekerheid die vertrouwelijke gegevens 2 verwerken en die een beroep wensen te doen op Cloud Computing providers. 3. Doelstelling Dit veiligheidsbeleid heeft als doelstelling de minimale (technische en juridische) veiligheidsvereisten en de contractuele waarborgen vast te leggen wanneer een instelling een beroep wenst te doen op "Cloud Computing"- dienstverleningen. Het is hiertoe noodzakelijk dat de "Cloud Computing"-provider voldoende waarborgen biedt met betrekking tot de contractuele voorwaarden, de omkadering van transfers, de veiligheid van gegevens en de bescherming van de privacy. Dit laat de instelling toe zich te vergewissen van de verwachte kwaliteit van de dienst. 4. Risico's verbonden aan de "Cloud" De overgang naar Cloud Computing vereist een strenge aanpak op het vlak van het beheer van de veiligheidstechnische, contractuele en juridische risico's. De instelling die een beroep wenst te doen op een "Cloud"-provider moet zich ervan vergewissen dat die provider de geschikte veiligheidsmaatregelen kan toepassen, om zich te beschermen tegen de risico's van de Cloud en in verband met de traditionele informaticaverwerkingen en in het bijzonder tegen de risico s die relevant zijn voor de bescherming van de persoonsgegevens. De belangrijkste risico's die op dat vlak werden geïdentificeerd, zijn de volgende: een verminderde governance met betrekking tot de verwerking; de risico s verbonden aan de onderaannemers van de leverancier, bijvoorbeeld een fout in de onderaannemingsketen wanneer de leverancier zelf een beroep doet op derden om een dienst te leveren; de technische afhankelijkheid ten opzichte van de provider van de Cloud Computing-oplossing, bijvoorbeeld het risico dat er gegevens verloren gaan bij migratie naar een andere provider of een interne oplossing; een gegevenslek, met andere woorden het risico dat gegevens die op een (virtueel) systeem zijn gehost, gewijzigd kunnen worden of toegankelijk zijn voor niet-gemachtigde derden naar aanleiding van een tekortkoming of een slecht beheer van de provider; de uitvoering van juridische vorderingen op basis van een buitenlands recht zonder overleg met de nationale instanties; 1 National Institute of Standards & Technologie 2 In deze policy verstaat men onder vertrouwelijke gegevens alles gegevens die niet openbaar zijn. P 3

4 het niet-naleven van de regels die door de instelling werden uitgevaardigd met betrekking tot de bewaring en de vernietiging van gegevens, o.a. bij een ondoeltreffende of onbeveiligde vernietiging van de gegevens of een te lange bewaarduur; problemen bij het beheren van de toegangsrechten; de onbeschikbaarheid van de dienst geleverd door de provider; de stopzetting van de dienst door de provider (bv. als gevolg van een gerechtelijke beslissing of de overname van de provider door een derde of bij een faillissement); de niet-overeenstemming met de regelgeving, in het bijzonder met betrekking tot internationale transfers. Een uitgebreide, niet-exhaustieve lijst van 35 risico's die door het ENISA 3 werd meegedeeld, kan in overweging worden genomen bij de risicoanalyse zodra het kader van het project is vastgelegd. 5. Policy 5.1. Algemene richtlijnen Alvorens een beroep te doen op de Cloud Computing, moet de instelling die verantwoordelijk is voor de verwerking duidelijk de gegevens, de verwerkingen of de diensten identificeren die in de Cloud worden gehost. Bij de bepaling van de return on investment moet rekening gehouden worden met de veiligheidseisen. Wanneer de classificatie van de gegevens dit vereist, moet de verantwoordelijke instelling de minimale voorwaarden of de beperkingen bij de overmaking ervan vastleggen. Krachtens de definitie opgenomen in de wet van 15 augustus 2012 houdende oprichting en organisatie van een federale dienstenintegrator heeft informatieveiligheid betrekking op alle gegevens en niet enkel op de persoonsgegevens. Hiertoe moeten de gegevens worden geïnventariseerd en geclassificeerd volgens hun kriticiteit overeenkomstig het model voor classificatie van de gegevens dat binnen de instelling geldt. Het is noodzakelijk om het geschikte type Cloud voor de beoogde verwerking te identificeren in functie van het huidige aanbod inzake cloud computing (zie bijlage 6.2). Het is noodzakelijk om de eigen veiligheidstechnische en juridische eisen te bepalen. De bedoeling van de Cloud is immers om de instelling van bepaalde operationele taken te ontlasten. Daarom moet de instelling zich ervan vergewissen dat de provider minstens even hoge eisen stelt als zijzelf. Wat de gegevens en de businessverwerking betreft, moet de instelling zich vergewissen van de omkeerbaarheid 4 en van een afdoend beschikbaarheidsniveau. In functie van de scope van het project, de kriticiteit van de activa (op het vlak van beschikbaarheid, integriteit en vertrouwelijkheid) en het verwachte model van cloud computing dient de instelling een risicoanalyse te verrichten om de gepaste veiligheidsmaatregelen te bepalen die van de provider worden geëist Uitvoeringswaarborg door de provider Elke instelling van sociale zekerheid die vertrouwelijke gegevens wenst te verwerken in een "Cloud" die door een provider wordt beheerd, moet de volgende contractuele waarborgen in acht nemen: 3 Europees Agentschap belast met de beveiliging van de netwerken en van de informatiegegevens. Dit verslag is beschikbaar op het volgende adres: 4 Definitie: de omkeerbaarheid is de mogelijkheid om terug te keren naar een vroegere leefbare situatie of organisatie. Hierdoor wordt een blokkerende situatie vermeden waarbij het niet mogelijk is om naar een vroegere situatie terug te keren of waarbij er een afhankelijkheid is ten opzichte van één enkele dienstverlener.. P 4

5 1. Clausule met betrekking tot de mogelijkheid voor een "cloud"-provider om een deel van zijn activiteiten uit te besteden. De serviceprovider is als enige verantwoordelijk ten opzichte van de instelling voor de uitvoering van zijn verplichtingen, dus ook wanneer hij bepaalde van zijn taken uitbesteedt. In het vooruitzicht van de uitbesteding van bepaalde specifieke taken aan onderaannemers, moet in de overeenkomst worden vastgelegd dat de "Cloud"-provider de instelling op de hoogte moet brengen. Bovendien moet de provider zich formeel ertoe verbinden alle verplichtingen die hem zijn opgelegd, over te nemen in de verbintenissen die hij met zijn onderaannemers zal afsluiten. De provider moet zich ervan vergewissen dat deze verbintenissen worden nageleefd door zijn onderaannemers. Hiertoe verricht hij de nodige controles. De uitvoeringsvoorwaarden van deze controles moeten in de overeenkomst worden vastgelegd. 2. Clausule met betrekking tot de integriteit, continuïteit en kwaliteit van de dienstverlening De provider moet alle maatregelen treffen om de integriteit van de gegevens die tijdens de duur van de overeenkomst worden verwerkt, te garanderen, bijvoorbeeld back-upsystemen voorzien. Een verbintenis met betrekking tot een serviceniveau (SLA: Service Level Agreement) moet in een akkoord worden geformaliseerd dat wordt bijgevoegd bij de overeenkomst die tussen de instelling en de "cloud"-provider wordt afgesloten. Daarin worden onder andere bepaald, inclusief voor de garantieperiode, de beschikbaarheid van de service en de maximale opstarttijd na onderbreking te wijten aan een incident en alle andere criteria met betrekking tot het heropstarten van de activiteiten (RTO en RPO) 5. De gedetailleerde maatregelen die de continuïteit van de dienstverlening waarborgen, moeten eveneens worden opgenomen in de SLA die wordt bijgevoegd bij de overeenkomst. 3. Clausule met betrekking tot de teruggave van de gegevens De provider verbindt zich ertoe om de gegevens van de instelling niet langer te bewaren dan voor de duur die met de instelling werd afgesproken. Bij vroegtijdige verbreking of bij einde prestatie verbindt de provider zich ertoe om alle gegevens van de instelling binnen de afgesproken termijn en op de afgesproken manier terug te geven in een gestructureerd en courant gebruikt formaat zodat de instelling de continuïteit van haar dienstverlening kan garanderen. Na teruggave van de gegevens en mits het akkoord van de instelling verbindt de provider zich ertoe alle kopieën van gegevens in zijn bezit, ook de back-ups en het archief, op een veilige manier te vernietigen binnen een redelijke termijn en het bewijs van de vernietiging te leveren. 4. Clausule met betrekking tot de overdraagbaarheid van de gegevens en de interoperabiliteit van de systemen Bij het einde van de prestatie verbindt de provider zich ertoe om volgens de in de overeenkomst afgesproken voorwaarden de nodige hulp te bieden bij de migratie van de bewerkingen van zijn "Cloud" naar een andere oplossing. 5. Clausule met betrekking tot de auditregeling De provider verbindt zich ertoe om audits op initiatief van de instelling toe te laten, om nauw samen te werken en om zo snel mogelijk de vastgestelde tekortkomingen te verhelpen. Deze audits kunnen door een trusted third party worden verricht. De audits moeten het mogelijk maken om na te gaan of de overeenkomst en de veiligheidsregels uit deze policy werden nageleefd en of ze in overeenstemming zijn met 5 RTO (Recovery Time Objective): Maximaal aanvaardbare duur van de onderbreking RPO (Recovery Point Objective): Maximaal aanvaardbaar verlies van gegevens P 5

6 onder meer de goede praktijken zoals aanbevolen door de internationale instanties (ISO bv.). De audit moet nagaan of de veiligheidsmaatregelen inzake vertrouwelijkheid, beschikbaarheid, traceerbaarheid en integriteit van de gegevens niet kunnen worden omzeild zonder dat de instelling hiervan op de hoogte is. Bij volledige of gedeeltelijke uitbesteding legt de provider aan al zijn onderaannemers clausules op waarbij het recht van de instelling wordt gegarandeerd om deze audits uit te voeren mits naleving van de voormelde regels. 6. Clausule met betrekking tot de verplichtingen van de provider inzake vertrouwelijkheid van de gegevens De provider moet zich ertoe verbinden, voor hemzelf, zijn onderaannemers en eventuele overnemers, geen gegevens voor eigen rekening of die van een derde te gebruiken of te verspreiden. Hij moet zich ertoe verbinden om alle toegangsloggings (die nodig zijn om te kunnen bepalen wie heeft wat gedaan en wanneer) tot de gegevens, de toepassingstools en bestuursinstrumenten ter beschikking te houden van de instelling gedurende de periode die in de overeenkomst is vastgelegd en deze te beveiligen. Hij moet de instelling op de hoogte brengen van elke anomalie in de toegangslogging zoals toegangspogingen door onbevoegde personen. De provider moet de instelling onmiddellijk op de hoogte brengen van ieder onderzoek of aanvraag tot onderzoek afkomstig van een Belgische of buitenlandse administratieve of gerechtelijke overheid. 7. Clausule met betrekking tot de soevereiniteit De provider moet aan de instelling de waarborg bieden dat hij en zijn eventuele onderaannemers niet onderworpen zijn aan onderzoeksdaden door overheden buiten België en de Europese Unie. 8. Clausule met betrekking tot de verplichtingen van de provider inzake gegevensbeveiliging De "Cloud Computing"-provider moet de relevante goede praktijken naleven, zoals bijvoorbeeld de minimale veiligheidsnormen binnen de sector van de sociale zekerheid of andere standaarden zoals de ISO normen. De provider moet aan de instelling de veiligheidspolicy bezorgen met betrekking tot de diensten die hij aanbiedt en hem op de hoogte houden van de evolutie van deze policy. De provider moet de identiteit van zijn veiligheidsverantwoordelijke meedelen aan de instelling. De provider moet de instelling regelmatig een evaluatie bezorgen over de toestand van de veiligheidsvereisten (dit kan via de SLA afgesloten tussen de twee partijen) Naleving van de goede praktijken door de provider De goede praktijken die hierna worden vermeld, vormen een minimale, niet exhaustieve lijst van veiligheidsmaatregelen die de "Cloud computing"-provider verplicht moet naleven. Daarenboven kan de door de instelling uitgevoerde risicoanalyse aanleiding geven tot bijkomende veiligheidsmaatregelen. In functie van het cloud -model dient de verantwoordelijkheid voor het beheer van de veiligheidsmaatregelen duidelijk vastgesteld te worden. Op het vlak van de gegevensbeveiliging worden vijf domeinen gedefinieerd waarin de goede praktijken moeten worden geïmplementeerd. Vertrouwelijke gegevens: de provider moet de processen inzake beveiliging, personeelsbeheer, inventaris, kwalificatie en traceerbaarheid coherent implementeren, Datacenter: de provider moet over een veiligheidspolicy inzake de fysieke toegang tot de rekencentra en over technische voorzieningen beschikken die een bescherming bieden tegen externe bedreigen en omgevingsbedreigingen (brand, overstroming, stroomonderbreking, enz.), P 6

7 Logische toegangsbeveiliging: de provider moet over logische toegangscontroles beschikken in verhouding met de kriticiteit van de gegevens, Beveiliging van de systemen: de provider staat in voor het veilig configureren van systemen, Beveiliging van het netwerk: de provider moet over een beveiligd netwerk beschikken met een geschikte afscherming naar derden toe. 1. Gegevensbescherming: De provider garandeert dat: de fysieke opslagplaats van de vertrouwelijke gegevens gekend is en voldoet aan de eisen van de instelling (rekencentrum, servers, enz.,); de back-up- en restore-systemen en de desbetreffende informatica-uitwijkplannen worden geïmplementeerd en periodiek uitgetest; hij over een ethische gedragscode beschikt dat op zijn personeel en zijn onderaannemers van toepassing is en door hen wordt toegepast. Hij oefent geen activiteiten uit die tot een belangenconflict kunnen leiden; zijn personeelsleden regelmatig bewust worden gemaakt van het belang van veiligheid; hij over traceermiddelen beschikt waardoor inbreuken op bijzondere rechten of kwaadaardige activiteiten kunnen worden opgespoord; hij over een incidentenpolicy beschikt waarin zowel de opsporing, het alarmeren, de verwerking tot en met de oplossing, de identificatie van de oorzaken en de communicatie aan de instelling worden besproken. 2. Beveiliging van de rekencentra De provider garandeert dat hij over beveiligde systemen beschikt van fysieke toegangscontrole, van inbraak-, brand- en overstromingsdetectie en van videobewaking; enkel de gemachtigde personen toegang krijgen tot een rekencentrum na een adequate goedkeuringsprocedure; bovendien worden de toegangen opgevolgd en regelmatig herzien; de vertrouwelijkheidsclausules die in een overeenkomst zijn vastgelegd ook van toepassing zijn op elke onderaannemer (in het bijzonder voor het onderhoud van de systemen waarin vertrouwelijke gegevens worden bewaard); elk opslagmedium met vertrouwelijke gegevens dat wordt hergebruikt, verwijderd of gerecycleerd moet eerst een doeltreffende procedure doorlopen. 3. Logische toegangsbeveiliging De provider garandeert dat hij de toegangsmodaliteiten tot de gegevens toepast volgens de aanwijzingen meegedeeld door de instelling (raadpleging, aanmaak, wijziging en verwijdering); de toegangen van de gebruikers en de administrators tot de systemen met vertrouwelijke gegevens gebaseerd zijn op mechanismen die de vertrouwelijkheid en de traceerbaarheid garanderen (bv. audit op de toegang tot de gegevens, problematiek van de generieke accounts); hij een authenticatiebeleid toepast dat in overeenstemming is met dat van de instelling. 4. Beveiliging van de systemen De provider garandeert dat de back-upgegevens, ongeacht de drager waarop ze worden opgeslagen, vercijferd worden aan de hand van een gepast middel (algoritme, lengte van de sleutel,...) afhankelijk van het gekozen cloudmodel en voor zover de instelling het nuttig acht; hij de kwetsbaarheden van het systeem beheert en minstens jaarlijks inbraaktesten organiseert; de kritische kwetsbaarheden worden daarbij onmiddellijk verbeterd; P 7

8 de servers waarop de vertrouwelijke gegevens worden gehost, geconfigureerd worden met een zeer streng beveiligingsniveau; de veiligheidspatches op gecentraliseerde wijze beheerd worden, op voorhand uitgetest en geïnstalleerd worden binnen een redelijke termijn en in functie van hun kriticiteit; de anti-malware software op de servers en de werkposten wordt geïnstalleerd en dat deze software wordt bijgewerkt en bewaakt; het gebruik van USB-sleutels en andere mobiele opslagmedia wordt beheerd en gecontroleerd; de beheerprocedures en praktijken inzake risicobeheer, incidentenbeheer en change management worden toegepast en correct gedocumenteerd. 5. Beveiliging van de netwerktoegangen De provider garandeert dat de toegangen tot het netwerk beperkt en beveiligd worden en dat ze worden gefilterd; het beheer van de systemen vanuit een beveiligd, afgezonderd en speciaal daartoe bestemd netwerk wordt verricht met gebruik van sterke authenticatie; de wijzigingen aan de netwerkuitrusting worden op voorhand goedgekeurd, opgevolgd en gedocumenteerd; in het geval van een gedeelde service van "Cloud computing": o o de toegang tot het netwerk enkel wordt toegelaten voor vertrouwde terminals; het netwerk waarop de systemen met vertrouwelijke gegevens worden gehost, van het netwerk van de andere instellingen wordt afgezonderd Naleving van de wettelijke en technische verplichtingen bij de verwerking van persoonsgegevens 6 Alvorens Cloud computing in te voeren, moet elke instelling de impact hiervan evalueren op de veiligheid en de vertrouwelijkheid van de verwerking en de opslag van persoonsgegevens in de Cloud. In functie van de gevoeligheid van de gegevens zoals vastgelegd door de instelling en de impactanalyse zal de instelling al dan niet een beroep kunnen doen op de diensten van een Cloud computing -provider. De volgende regels zijn van toepassing bij gebruik van deze Cloud-diensten: In functie van haar activiteiten moet elke instelling niet alleen de Belgische en Europese wetgeving naleven maar ook de specifieke wetgeving eigen aan een sector; de instelling moet steeds waken over de naleving van de reglementering met betrekking tot de bescherming van de persoonsgegevens (privacywet 7 ) bij de verwerking van dergelijke gegevens in een Cloud. In dat geval is de instelling die de gegevens bezit steeds verantwoordelijk voor de correcte naleving van de reglementering met betrekking tot de bescherming van de persoonsgegevens; in geval van outsourcing van persoonsgegevens moet de instelling zich bij de keuze van de Cloud computing -provider steeds beperken tot providers die enkel cloud-diensten van het type gemeenschappelijke Cloud (of private) aanbieden; Behoudens een toegelaten afwijking, is voor elke outsourcing van persoonsgegevens een vercijfering van de gegevens noodzakelijk tijdens het transport en voor de bewaring ervan. De vercijferingsmiddelen moeten bovendien steeds onder controle van de instelling worden beheerd en mogen niet worden uitbesteed. 6 Persoonsgegevens omvatten tevens medische, sociale of privé-gegevens volgens de classificatie van gegevens die binnen de sociale zekerheid geldt 7 P 8

9 6. Bijlage : 6.1. Is er een verschil tussen IT-uitbesteding en Cloud Computing? Nee, er is geen verschil wat betreft veiligheidsvereisten. Uitbesteding is immers de goed gekende methode waarbij een derde partij een of meerdere taken van de onderneming op zich neemt, taken waarvoor men vaak te weinig resources (tijd, expertise) heeft. Deze uitbesteding kan gaan tot de opslag van gegevens en verwerkingssystemen. Cloud Computing is het gevolg van de evolutie van IT-uitbesteding. De virtualisatietechnologieën die goed ontwikkeld werden en de toegang tot het netwerk aan zeer hoge snelheid die veralgemeend werd, hebben er inderdaad voor gezorgd dat de deuren open gingen voor flexibel gebruik en voor de vraag naar grote en mogelijk gedelokaliseerde informaticatools: dat is de kern van Cloud Computing. In dat kader kan dit veiligheidsbeleid ook in overweging genomen worden bij alle IT-uitbestedingen Cloud Computing -modellen Het huidige aanbod inzake "Cloud Computing" kan volgens drie servicemodellen en vier implementatiemodellen worden gerangschikt. De servicemodellen zijn de volgende o SaaS: «Software as a Service», dat wil zeggen de levering van software online; o PaaS: «Platform as a Service», dat wil zeggen de levering van een ontwikkelingsplatform voor online toepassingen; o IaaS: «Infrastructure as a Service», dat wil zeggen de levering van infrastructuur voor de online verwerking en opslag. De implementatiemodellen zijn de volgende: o «Publiek» : de infrastructuur is toegankelijk voor een breed publiek en is eigendom van een Cloud-provider, in dit geval wordt een dienst met veel klanten gedeeld; o «Privaat»: de Cloud-infrastructuur werkt voor één enkele organisatie, ze kan door de instelling zelf (interne private cloud) of door een derde worden beheerd (externe private cloud); o «Gemeenschappelijk»-: Het betreft een infrastructuur die door verschillende organisaties gedeeld wordt die gemeenschappelijke belangen hebben of aan dezelfde (wettelijke) eisen moeten voldoen. Zoals voor de private Cloud kan deze infrastructuur door de organisaties zelf of door een derde worden beheerd; o «Hybride»: Deze infrastructuur bestaat uit minstens twee Clouds (private, gemeenschappelijke of publieke) die apart blijven bestaan maar die met elkaar zijn verbonden door een standaard of bedrijfseigen technologie waardoor de overdraagbaarheid van de gegevens of van de toepassingen wordt gegarandeerd Voorbereiding bij migratie naar een "Cloud Computing"-infrastructuur Een rentabiliteitsanalyse voorbereiden en de kosten en baten met betrekking tot een migratie naar een leverancier van Cloud Computing evalueren. De bedrijfsmiddelen (informatie, applicaties, processen) in het toepassingsgebied van "Cloud Computing" identificeren en classificeren. De sleutelfiguren van de organisatie (wettelijk, veiligheid, financiën, etc.) betrekken bij het beslissingsproces van de migratie naar een Cloud Computing"-service alvorens een beslissing te nemen. Het design en de vereisten van de oplossing die voorgesteld werd door de kandidaat voor de transfer naar "Cloud Computing" grondig bestuderen. Ook vragen dat de leverancier van de "Cloud Computing"- service voor een testperiode zorgt, zodat mogelijke problemen opgespoord kunnen worden. P 9

10 7. Referenties: De ISO-normen 27001, ISO27002 Adviezen en aanbevelingen van de CBPL 8, referentie: SA2/DOS , ISACA publication: Security considerations for cloud computing, ISBN: , Aanbevelingen van de CNIL 9 : «Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud Computing» 8 Commissie voor de Bescherming van de Persoonlijke Levenssfeer, 9 Commission Nationale de l Informatique et des libertés, P 10