De meeste organisaties binnen Nederland zijn onderhevig aan wet- en regelgeving op het gebied van informatie-beveiliging en privacy bescherming. Voorbeelden zijn de Algemene Verordening Gegevensbescherming [AVG] en de Baseline Informatiebescherming Overheid [BIO]. Deze wet- en regelgeving worden voorgeschreven op Europees en/of landelijk niveau. Hiernaast zijn er tal van standaarden als ISO27001 en het NIST 800-53, welke als leidraad dienen om
het beheer en beveiliging van informatie goed te organiseren. In deze blog nemen we je mee in wat je kunt doen om jouw verantwoordelijkheid te nemen binnen het beveiligen en beheren van informatie binnen de geldende wet- en regelgeving.
Elke cloud-implementatie kent, ongeacht de leverancier (Microsoft, Amazon, Google, enzovoort), het model van gedeelde verantwoordelijkheid. Dit model houdt in, dat zowel de leverancier als de afnemer verantwoordelijkheid draagt voor onder meer de informatiebeveiliging en het beheer van informatie. Voor Microsoft 365 als Software as a Service [SaaS] dienst geldt dat de afnemer zelf verantwoordelijk is voor de beveiliging en het beheer van informatie, apparatuur en identiteiten. Uiteraard kan hierbij gebruik worden gemaakt van de mogelijkheden die Microsoft 365 biedt.
De complexiteit van cloudomgevingen in relatie tot wet- en regelgeving maken dat het vaak lastig is om het overzicht te behouden. De BIO zelf omvat zeer veel artikelen die zowel ingaan op processen, afspraken, expertise en ook technische maatregelen. Specifiek voor de Microsoft 365 cloudomgeving bestaat hiervoor een oplossing.
Microsoft Purview en Compliance Manager
Vanuit Microsoft Purview, een suite van oplossingen voor informatiebeheer en -beveiliging, biedt Microsoft de zogenaamde Compliance Manager aan. Dit platform is specifiek bedoeld om de uitdagingen op het gebied van wet- en regelgeving aan te gaan. Het biedt een aantal functies:
- Het geeft inzage in een groot aantal wet- en regelgeving, waaronder AVG, CIS, NIS2 en ISO27001.
- Het geeft inzage in de maatregelen welke Microsoft (vanuit het model van gedeelde verantwoordelijkheid) heeft genomen om te voldoen aan deze wet- en regelgeving.
- Het platform is bovendien te gebruiken als Information Security Management System (ISMS), doordat openstaande issues en punten in te plannen en toe te wijzen zijn. Afgehandelde punten worden ondersteund door het toevoegen van bewijsmateriaal.
- Waar mogelijk is de Compliance Manager in staat om automatisch te beoordelen of de Microsoft 365 omgeving voldoet aan de vereiste maatregelen en geeft hiervoor ook aanbevelingen. Ook wordt dit inzichtelijk gemaakt met een zogenaamde compliance score.
- De Compliance Manager bevat aanbevelingen op het gebied van technologie, processen en documentatie. Het is mogelijk om de (tussentijdse) resultaten te exporteren naar Excel, zodat deze hierna verder verwerkt kunnen worden.
Standaard binnen de E3-licentie biedt de Microsoft Purview Compliance Manager slechts een algemene toetsing (Data Protection Baseline). Aanvullende toetsen zijn onderdeel van een aanvullende licentie en/of apart aan te schaffen. Vanuit een E5 licentiemodel is het mogelijk om drie aanvullende (premium) toetsingsjablonen toe te voegen. Vanuit InSpark raden we aan om in dat geval de toestingslablonen voor AVG, NIST 800-53 en ISO 27001 te gebruiken.
In het verleden bood Microsoft de mogelijkheid om eigen toetsingsjablonen toe te voegen. InSpark heeft hiervan gebruik gemaakt door een eigen BIO 1.04 sjabloon op te stellen. Helaas is deze mogelijkheid er niet meer. In plaats hiervan is het nu mogelijk om een bestaand sjabloon te klonen en aan te passen.
Meer weten?
Wil je meer informatie over wet- en regelgeving in de Microsoft cloud, dan wel Microsoft Purview? Wij helpen je graag. Neem contact met ons op via de button.