De meeste organisaties binnen Nederland zijn onderhevig aan wet- en regelgeving op het gebied van informatiebeveiliging en privacy bescherming. Voorbeelden zijn de Algemene Verordening Gegevensbescherming [AVG] en de Baseline Informatiebescherming Overheid [BIO]. Deze wet- en regelgeving worden voorgeschreven op Europees en/of landelijk niveau. Hiernaast zijn er tal van standaarden als ISO27001 en het NIST 800-53, welke als leidraad dienen om het beheer en beveiliging van informatie goed te organiseren. In deze blog nemen we je mee in wat je kunt doen om jouw verantwoordelijkheid te nemen binnen het beveiligen en beheren van informatie binnen de geldende wet- en regelgeving.
Elke cloud-implementatie kent, ongeacht de leverancier (Microsoft, Amazon, Google, enzovoort), het model van gedeelde verantwoordelijkheid. Dit model houdt in, dat zowel de leverancier als de afnemer verantwoordelijkheid draagt voor onder meer de informatiebeveiliging en het beheer van informatie. Voor Microsoft 365 als Software as a Service [SaaS] dienst geldt dat de afnemer zelf verantwoordelijk is voor de beveiliging en het beheer van informatie, apparatuur en identiteiten. Uiteraard kan hierbij gebruik worden gemaakt van de mogelijkheden die Microsoft 365 biedt.
De complexiteit van cloudomgevingen in relatie tot wet- en regelgeving maken dat het vaak lastig is om het overzicht te behouden. De BIO zelf omvat zeer veel artikelen die zowel ingaan op processen, afspraken, expertise en ook technische maatregelen. Specifiek voor de Microsoft 365 cloudomgeving bestaat hiervoor een oplossing.
Microsoft Purview
Vanuit Microsoft Purview, een suite van oplossingen voor informatiebeheer en -beveiliging, biedt Microsoft de zogenaamde Compliance Manager aan. Dit platform is specifiek bedoeld om de uitdagingen op het gebied van wet- en regelgeving aan te gaan. Het biedt een aantal functies:
- Het geeft inzage in een groot aantal wet- en regelgeving, waaronder AVG en ISO27001, tot op detailniveau;
- Het geeft inzage in de maatregelen welke Microsoft (vanuit het model van gedeelde verantwoordelijkheid) heeft genomen om te voldoen aan deze wet- en regelgeving;
- Het is te gebruiken als Information Security Management System (ISMS), doordat openstaande issues en punten in te plannen en toe te wijzen zijn. Afgehandelde punten worden ondersteund door het toevoegen van bewijsmateriaal (zie figuur).
- Waar mogelijk is de Compliance Manager in staat om automatisch te beoordelen of de Microsoft 365 omgeving voldoet aan de vereiste maatregelen en geeft hiervoor ook aanbevelingen. Ook wordt dit inzichtelijk gemaakt met een zogenaamde compliance score.
De Compliance Manager bevat aanbevelingen op het gebied van technologie, processen en documentatie. Het is mogelijk om de (tussentijdse) resultaten te exporteren naar Excel, zodat deze hierna verder verwerkt kunnen worden.
Standaard binnen de E3-licentie biedt de Microsoft Purview Compliance Manager slechts een algemene toetsing (Data Protection Baseline). Aanvullende toetsen zijn onderdeel van een aanvullende licentie en/of apart aan te schaffen.
Assessment template
Hoewel er zeer veel aanvullende toetsing sjablonen beschikbaar zijn binnen de Compliance Manager, biedt deze standaard geen toetsing gericht op de Baseline Informatiebeveiliging Overheid [BIO].
Het is hierom dat InSpark een eigen toetsing sjabloon [assessment template] heeft opgesteld. Deze biedt inzage in de BIO, met enkele randvoorwaarden.
Om het sjabloon toe te voegen aan de Microsoft Purview Compliance Manager is een Microsoft 365 E5 Compliance licentie vereist. Deze licentie is één van de volgende:
- Microsoft 365 of Office 365 E5
- Microsoft 365 E5 Compliance;
- Microsoft 365 E5 eDiscovery & Audit;
- Microsoft 365 E5 Insider Risk Management;
- Microsoft 365 E5 Information Protection and Governance.
Deze licenties geven bovendien het recht om gebruik te maken van de slablonen voor AVG, NIST 800-53 en ISO 27001.
Het InSpark sjabloon bevat de informatie uit de BIO versie 1.4 aangevuld met de artikelen in het Themadocument Clouddiensten. Deze informatie is aangevuld met praktische informatie over Microsoft 365 instellingen.
Hiernaast bevat het sjabloon ook de gerelateerde (Engelstalige) informatie over de ISO 27001 normering.
Hoe gebruik je het sjabloon?
Het sjabloon is tweeledig te gebruiken:
- Om inzichtelijk te krijgen welke artikelen zijn opgenomen in de BIO v1.04 en het Themadocument Clouddiensten;
- Als ISMS en hiermee vast te leggen welke BIO componenten wel/niet zijn geadresseerd binnen de Microsoft 365 omgeving.
De BIO specifieke componenten binnen het sjabloon maken (nog) geen gebruik van automatisch detectie van instellingen en geven daarmee ook geen score. De mede opgenomen ISO 27001 onderdelen maken hier wel gebruik van. Deze beïnvloeden ook de totale score.
Zowel de specifieke BIO, Themadocument en ISO 27001 gerelateerde artikelen worden door InSpark onderhouden. Eens per kwartaal wordt een update van het sjabloon verstrekt. Deze is eenvoudig in de Compliance Manager toe te voegen, waarna de wijzigingen worden doorgevoerd.
Meer weten?
Het InSpark assessment template inzetten en/of meer informatie over wetgeving, dan wel Microsoft Purview? Wij helpen je graag. Neem contact met ons op via de button.
