Microsoft 365 Compliance Score en de Cheshire kat

Richard Fransen
3-sep-2020 9:38:00

In mijn vorige blog heb ik de Compliance Score uitgelegd. De Compliance Score toont de mate waarin uw organisatie 'scoort' op (bepaalde aspecten van) informatiebeveiliging aan de hand van uitgevoerde en gecontroleerde acties. Microsoft 365 biedt zo'n 400 verbeter acties. Die zijn gekoppeld aan één of meer normen voor informatiebeveiliging.

Maar welke acties en normen zijn nu voor uw organisatie relevant?

De Cheshire kat wist het in het verhaal 'Alice in Wonderland' treffend te verwoorden. Op de vraag van Alice welke weg ze moest nemen, antwoordde de Cheshire kat: "Dat wordt bepaald door waar je naar toe wil". En zo is het ook met de inzet van de Compliance Score!

De relevante norm(en) bepalen

De Compliance Score ondersteunt een fors aantal normen, zie onderstaande tabel. Die normen staan uitgewerkt in de Compliance Manager, dat onderdeel is van het Microsoft Trust Center. Iedere norm bevat zowel acties voor uw organisatie als acties voor Microsoft. Microsoft heeft 'haar' acties al allemaal en aantoonbaar uitgevoerd! Om u al vast een idee te geven van de mogelijkheden heeft Microsoft standaard één 'norm' geactiveerd, de Data Protection Baseline.

data protection baseline


Als uw organisatie alleen in Nederland actief is dan is slechts een klein deel van die 'normen' voor u relevant. Normen heb ik tussen haakjes geplaatst, omdat de eerste twee in het rijtje geen formele norm zijn.

  1. CSA CCM - De Cloud Security Alliance Cloud Controls Matrix (CCM) is specifiek ontworpen om cloudaanbieder te begeleiden met fundamentele beveiligingsprincipes  en om potentiële cloud-klanten te helpen bij het beoordelen van het algemene beveiligingsrisico van een cloudaanbieder.
  2. Data Protection Baseline - Een door Microsoft ontwikkelde baseline.
  3. EU GDPR - Europese General Data Protection Regulation oftewel de Algemene Verordening Gegevensbescherming (AVG). De Europese privacywet geldt voor alle bedrijven en organisaties die persoonsgegevens vastleggen van klanten, personeel of andere personen uit de EU.
  4. ISO/IEC 27001 - Beschrijft de eisen voor een informatiebeveiligingssysteem , een op risico's gebaseerde aanpak die mensen, processen en technologie omvat. Het vormt samen met de ISO 27002 de grondslag voor de BIO, de Baseline Informatiebeveiliging Overheid voor alle Nederlandse overheidslagen (Rijk, gemeenten, provincies en waterschappen).
  5. ISO/IEC 27018 - Voornamelijk een uitwerking van de meer algemene privacy standaard ISO 27002, aangepast aan de cloud. Het beoogt met name regels te stellen die zijn bedoeld voor ‘public cloud service providers’,  zoals Amazon Web Services en Microsoft Azure.
  6. ISO/IEC 27701 - Een uitbreiding op ISO/IEC 27001 en ISO/IEC 27002 voor privacy management binnen de context van de organisatie. Van toepassing op alle organisaties, ongeacht type of omvang, met inbegrip van  publieke en private ondernemingen, overheidsentiteiten en organisaties zonder winstoogmerk, die PII-verwerkingsverantwoordelijken en/of PII-verwerkers zijn en PII binnen een ISMS verwerken.
  7. SOC 1 - Richt zich op de beheerinstrumenten van een dienstverlenende organisatie die waarschijnlijk relevant zijn voor een audit van de jaarrekening van een gebruikersentiteit (klant).
  8. SOC 2 - Richt zich op de beheerinstrumenten van een dienstverlenende organisatie die betrekking hebben op de activiteiten en de naleving, met betrekking tot beschikbaarheid, veiligheid, verwerkingsintegriteit, vertrouwelijkheid en privacy.

De onderstaande figuur geeft binnen iedere cirkel aan hoeveel Microsoft 365 verbeter acties beschikbaar zijn om te conformeren aan die norm.

verbeteracties microsoft 365 compliance score

De formele of de informele route

De eerste keuze die u moet maken is die voor een formele of informele route.

De 'informele route' begint met de Data Protection Baseline (DPB). De DPB is een samenvoeging van elementen uit de andere standaarden. De pijltjes in bovenstaande figuur geven het aantal vanuit een norm 'geleende' acties aan. Voordeel is dat deze 'norm' al is geconfigureerd, er minder organisatie en documentatie gevraagd wordt, en dat u met het uitvoeren van de acties in de DPB ook een bijdrage levert aan een aantal andere normen.

Nadeel is dat een aantal van die verbeter acties voor uw organisatie mogelijk niet relevant zijn. En omdat geen enkele formele norm 100% wordt afgedekt door de DPB, valt u bij een onverhoopt datalek mogelijk door de mand.

De 'formele route' is gericht op het behalen van certificaten en het succesvol doorstaan van audits. U begint met de ISO normen. Dat kost wat: niet alleen in financiële zin, maar ook in commitment vanuit directie, ICT en medewerkers. Er zal meer moeten worden georganiseerd en gedocumenteerd. Maar dat is ook wat waard:

  • U gaat aantoonbaar voldoen aan wettelijke en/of contractuele verplichtingen;
  • U weet zich bij klanten en partners te onderscheiden t.o.v. de concurrentie;
  • Extra gemoedsrust.

In beide scenario's kunt u op een later tijdstip aandacht besteden aan de overige normen.

Maar let op! Als u een verbeteractie hebt uitgevoerd in het kader van bijvoorbeeld in bijvoorbeeld de ISO-27001 (algemene informatiebeveiliging), betekent dat niet dat u aan diezelfde taak geen aandacht meer hoeft te besteden als daarna aan de slag gaat met de ISO-27701 (privacy).
Omdat het doel verschilt, moet u er toch weer mee aan de slag. Waarschijnlijk komt u dan wel tot de ontdekking dat het een 'bijstelling' betreft en dat eerdere werkzaamheden niet verloren zijn gegaan.

Welke privacy norm?

De Secure Score ondersteunt een aantal privacy / PII normen: EU GDPR, ISO 27018 en ISO 27701. Welke het best past / passen bij uw organisatie is op voorhand niet snel te zeggen. Neem contact op om daarover een afspraak te maken.

Snel aan de slag

U zit niet vastgebakken aan een eenmaal gemaakte keuze voor een norm. Stel u wilt aan de gang met de ISO 27001, maar nog niet klaar met de voorbereidingen daarvoor. Dan kunt u alvast beginnen met de DPB.

Beide normen kennen namelijk een forse overlap van activiteiten. Voer dan wel vooraf een review uit op de verbeter acties. Dan gaan uw inspanningen niet verloren als u na verloop van tijd overstapt naar de ISO norm. Na de overstap adviseer ik wel om een extra review uit te voeren op de al uitgevoerde acties om te bepalen of extra organisatorische of documentatie acties nodig zijn.

In mijn volgende blog help ik u om prioriteiten te stellen zodat uw organisatie snel de grootste risico's kan identificeren en mitigeren. Wilt u daarop niet wachten? Of heeft u een vraag op opmerking? Neem dan contact op!

Nog geen reacties

Voel je vrij om te reageren...