Details van het ingebouwde initiatief Voor systeem- en organisatiebeheer (SOC) 2 (Azure Government) naleving van regelgeving

In het volgende artikel wordt beschreven hoe de ingebouwde initiatiefdefinitie naleving van Azure Policy-regelgeving wordt toegewezen aan nalevingsdomeinen en -controles in SOC 2 (System and Organization Controls) 2 (Azure Government). Zie Systeem- en organisatiebeheer (SOC) 2 voor meer informatie over deze nalevingsstandaard. Zie Azure Policy-beleidsdefinitie en Gedeelde verantwoordelijkheid in de Cloud om Eigendom te begrijpen.

De volgende toewijzingen zijn voor de SOC-besturingselementen (System and Organization Controls) 2 . Veel van de beheeropties worden geïmplementeerd met een Azure Policy-initiatiefdefinitie. Als u de complete initiatiefdefinitie wilt bekijken, opent u Beleid in de Azure-portal en selecteert u de pagina Definities. Zoek en selecteer vervolgens de ingebouwde initiatiefdefinitie SOC 2 Type 2 Regulatory Compliance.

Belangrijk

Elke beheeroptie hieronder is gekoppeld aan een of meer Azure Policy-definities. Met deze beleidsregels kunt u de compliance beoordelen met de beheeroptie. Er is echter vaak geen één-op-één- of volledige overeenkomst tussen een beheeroptie en een of meer beleidsregels. Als zodanig verwijst de term Conform in Azure Policy alleen naar de beleidsdefinities zelf. Dit garandeert niet dat u volledig conform bent met alle vereisten van een beheeroptie. Daarnaast bevat de nalevingsstandaard beheeropties die op dit moment nog niet worden beschreven door Azure Policy-definities. Daarom is naleving in Azure Policy slechts een gedeeltelijke weergave van uw algemene nalevingsstatus. De koppelingen tussen de beheeropties voor nalevingsdomeinen en Azure Policy definities voor deze nalevingsstandaard kunnen na verloop van tijd veranderen. Als u de wijzigingsgeschiedenis wilt bekijken, raadpleegt u de GitHub Commit-geschiedenis.

Aanvullende criteria voor beschikbaarheid

Capaciteitsbeheer

Id: SOC 2 Type 2 A1.1 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Capaciteitsplanning uitvoeren	CMA_C1252 - Capaciteitsplanning uitvoeren	Handmatig, uitgeschakeld	1.1.0

Omgevingsbeveiligingen, software, back-upprocessen voor gegevens en herstelinfrastructuur

Id: SOC 2 Type 2 A1.2 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Azure Backup moet zijn ingeschakeld voor virtuele machines	Zorg ervoor dat uw virtuele Azure-machines worden beveiligd door Azure Backup in te schakelen. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure.	AuditIfNotExists, uitgeschakeld	3.0.0
Automatische noodverlichting gebruiken	CMA_0209 - Automatische noodverlichting gebruiken	Handmatig, uitgeschakeld	1.1.0
Een alternatieve verwerkingssite tot stand brengen	CMA_0262 - Een alternatieve verwerkingssite tot stand brengen	Handmatig, uitgeschakeld	1.1.0
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDB	Met Azure Database for MariaDB kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server.	Controle, uitgeschakeld	1.0.1
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL	Met Azure Database for MySQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server.	Controle, uitgeschakeld	1.0.1
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL	Met Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server.	Controle, uitgeschakeld	1.0.1
Een methodologie voor penetratietests implementeren	CMA_0306 - Een penetratietestmethodologie implementeren	Handmatig, uitgeschakeld	1.1.0
Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden	CMA_0323 - Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden	Handmatig, uitgeschakeld	1.1.0
Een alarmsysteem installeren	CMA_0338 - Een alarmsysteem installeren	Handmatig, uitgeschakeld	1.1.0
Resources herstellen en reconstitueren na eventuele onderbrekingen	CMA_C1295 - Resources herstellen en reconstitueren na eventuele onderbrekingen	Handmatig, uitgeschakeld	1.1.1
Simulatieaanvallen uitvoeren	CMA_0486 - Simulatieaanvallen uitvoeren	Handmatig, uitgeschakeld	1.1.0
Back-upgegevens afzonderlijk opslaan	CMA_C1293 - Back-upgegevens afzonderlijk opslaan	Handmatig, uitgeschakeld	1.1.0
Back-upgegevens overdragen naar een alternatieve opslagsite	CMA_C1294 - Back-upgegevens overdragen naar een alternatieve opslagsite	Handmatig, uitgeschakeld	1.1.0

Testen van herstelplan

Id: SOC 2 Type 2 A1.3 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen	CMA_0086 - Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen	Handmatig, uitgeschakeld	1.1.0
Plan voor onvoorziene gebeurtenissen starten om corrigerende acties te testen	CMA_C1263 - Een plan voor onvoorziene gebeurtenissen starten om corrigerende acties te testen	Handmatig, uitgeschakeld	1.1.0
Bekijk de resultaten van het testen van het plan voor onvoorziene gebeurtenissen	CMA_C1262 - Bekijk de resultaten van het testen van onvoorziene gebeurtenissen	Handmatig, uitgeschakeld	1.1.0
Het plan voor bedrijfscontinuïteit en herstel na noodgevallen testen	CMA_0509 - Het plan voor bedrijfscontinuïteit en herstel na noodgevallen testen	Handmatig, uitgeschakeld	1.1.0

Aanvullende criteria voor vertrouwelijkheid

Bescherming van vertrouwelijke informatie

Id: SOC 2 Type 2 C1.1 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Fysieke toegang beheren	CMA_0081 - Fysieke toegang beheren	Handmatig, uitgeschakeld	1.1.0
De invoer, uitvoer, verwerking en opslag van gegevens beheren	CMA_0369 - De invoer, uitvoer, verwerking en opslag van gegevens beheren	Handmatig, uitgeschakeld	1.1.0
Labelactiviteit en -analyse controleren	CMA_0474 - Labelactiviteit en -analyse controleren	Handmatig, uitgeschakeld	1.1.0

Verwijdering van vertrouwelijke informatie

Id: SOC 2 Type 2 C1.2 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Fysieke toegang beheren	CMA_0081 - Fysieke toegang beheren	Handmatig, uitgeschakeld	1.1.0
De invoer, uitvoer, verwerking en opslag van gegevens beheren	CMA_0369 - De invoer, uitvoer, verwerking en opslag van gegevens beheren	Handmatig, uitgeschakeld	1.1.0
Labelactiviteit en -analyse controleren	CMA_0474 - Labelactiviteit en -analyse controleren	Handmatig, uitgeschakeld	1.1.0

Controleomgeving

COSO-principe 1

Id: SOC 2 Type 2 CC1.1 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Beleid en procedures voor acceptabel gebruik ontwikkelen	CMA_0143 - Beleid en procedures voor acceptabel gebruik ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Organisatiecode van gedragsbeleid ontwikkelen	CMA_0159 - Organisatiecode van gedragsbeleid ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Documenteer personeelsacceptatie van privacyvereisten	CMA_0193 - Documenteer personeelsacceptatie van privacyvereisten	Handmatig, uitgeschakeld	1.1.0
Regels voor gedrag en toegangsovereenkomsten afdwingen	CMA_0248 - Regels voor gedrag en toegangsovereenkomsten afdwingen	Handmatig, uitgeschakeld	1.1.0
Oneerlijke praktijken verbieden	CMA_0396 - Oneerlijke praktijken verbieden	Handmatig, uitgeschakeld	1.1.0
Herziene gedragsregels controleren en ondertekenen	CMA_0465 - Herziene gedragsregels controleren en ondertekenen	Handmatig, uitgeschakeld	1.1.0
Regels voor gedrag en toegangsovereenkomsten bijwerken	CMA_0521 - Regels voor gedrag en toegangsovereenkomsten bijwerken	Handmatig, uitgeschakeld	1.1.0
Regels voor gedrag en toegangsovereenkomsten om de 3 jaar bijwerken	CMA_0522 - Updateregels voor gedrag en toegangsovereenkomsten om de 3 jaar	Handmatig, uitgeschakeld	1.1.0

COSO-principe 2

Id: SOC 2 Type 2 CC1.2 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Een senior informatiebeveiligingsmedewerker benoemen	CMA_C1733 - Een senior informatiebeveiligingsmedewerker benoemen	Handmatig, uitgeschakeld	1.1.0
Een systeembeveiligingsplan ontwikkelen en opzetten	CMA_0151 - Een systeembeveiligingsplan ontwikkelen en opzetten	Handmatig, uitgeschakeld	1.1.0
Een strategie voor risicobeheer vaststellen	CMA_0258 - Een strategie voor risicobeheer instellen	Handmatig, uitgeschakeld	1.1.0
Beveiligingsvereisten instellen voor de productie van verbonden apparaten	CMA_0279 : beveiligingsvereisten instellen voor de productie van verbonden apparaten	Handmatig, uitgeschakeld	1.1.0
Beveiligingstechniekprincipes van informatiesystemen implementeren	CMA_0325 - Beveiligingstechniekprincipes van informatiesystemen implementeren	Handmatig, uitgeschakeld	1.1.0

COSO-principe 3

Id: SOC 2 Type 2 CC1.3 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Een senior informatiebeveiligingsmedewerker benoemen	CMA_C1733 - Een senior informatiebeveiligingsmedewerker benoemen	Handmatig, uitgeschakeld	1.1.0
Een systeembeveiligingsplan ontwikkelen en opzetten	CMA_0151 - Een systeembeveiligingsplan ontwikkelen en opzetten	Handmatig, uitgeschakeld	1.1.0
Een strategie voor risicobeheer vaststellen	CMA_0258 - Een strategie voor risicobeheer instellen	Handmatig, uitgeschakeld	1.1.0
Beveiligingsvereisten instellen voor de productie van verbonden apparaten	CMA_0279 : beveiligingsvereisten instellen voor de productie van verbonden apparaten	Handmatig, uitgeschakeld	1.1.0
Beveiligingstechniekprincipes van informatiesystemen implementeren	CMA_0325 - Beveiligingstechniekprincipes van informatiesystemen implementeren	Handmatig, uitgeschakeld	1.1.0

COSO-principe 4

Id: SOC 2 Type 2 CC1.4 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Periodieke beveiligingstraining op basis van rollen bieden	CMA_C1095 - Periodieke beveiligingstraining op basis van rollen bieden	Handmatig, uitgeschakeld	1.1.0
Periodieke training voor beveiligingsbewustzijn bieden	CMA_C1091 - Periodieke training voor beveiligingsbewustzijn bieden	Handmatig, uitgeschakeld	1.1.0
Praktische oefeningen op basis van rollen bieden	CMA_C1096 - Praktische oefeningen op basis van rollen bieden	Handmatig, uitgeschakeld	1.1.0
Beveiligingstraining bieden voordat u toegang verleent	CMA_0418 - Beveiligingstraining bieden voordat u toegang verleent	Handmatig, uitgeschakeld	1.1.0
Beveiligingstraining bieden voor nieuwe gebruikers	CMA_0419 - Beveiligingstraining bieden voor nieuwe gebruikers	Handmatig, uitgeschakeld	1.1.0

COSO-principe 5

Id: SOC 2 Type 2 CC1.5 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Beleid en procedures voor acceptabel gebruik ontwikkelen	CMA_0143 - Beleid en procedures voor acceptabel gebruik ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Regels voor gedrag en toegangsovereenkomsten afdwingen	CMA_0248 - Regels voor gedrag en toegangsovereenkomsten afdwingen	Handmatig, uitgeschakeld	1.1.0
Formeel sanctieproces implementeren	CMA_0317 - Formeel sanctieproces implementeren	Handmatig, uitgeschakeld	1.1.0
Personeel op de hoogte stellen van sancties	CMA_0380 - Personeel op de hoogte stellen van sancties	Handmatig, uitgeschakeld	1.1.0

Communicatie en informatie

COSO-principe 13

Id: SOC 2 Type 2 CC2.1 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Fysieke toegang beheren	CMA_0081 - Fysieke toegang beheren	Handmatig, uitgeschakeld	1.1.0
De invoer, uitvoer, verwerking en opslag van gegevens beheren	CMA_0369 - De invoer, uitvoer, verwerking en opslag van gegevens beheren	Handmatig, uitgeschakeld	1.1.0
Labelactiviteit en -analyse controleren	CMA_0474 - Labelactiviteit en -analyse controleren	Handmatig, uitgeschakeld	1.1.0

COSO-principe 14

Id: SOC 2 Type 2 CC2.2 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Beleid en procedures voor acceptabel gebruik ontwikkelen	CMA_0143 - Beleid en procedures voor acceptabel gebruik ontwikkelen	Handmatig, uitgeschakeld	1.1.0
E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld	Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center.	AuditIfNotExists, uitgeschakeld	1.0.1
E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld	Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center.	AuditIfNotExists, uitgeschakeld	2.0.0
Regels voor gedrag en toegangsovereenkomsten afdwingen	CMA_0248 - Regels voor gedrag en toegangsovereenkomsten afdwingen	Handmatig, uitgeschakeld	1.1.0
Periodieke beveiligingstraining op basis van rollen bieden	CMA_C1095 - Periodieke beveiligingstraining op basis van rollen bieden	Handmatig, uitgeschakeld	1.1.0
Periodieke training voor beveiligingsbewustzijn bieden	CMA_C1091 - Periodieke training voor beveiligingsbewustzijn bieden	Handmatig, uitgeschakeld	1.1.0
Beveiligingstraining bieden voordat u toegang verleent	CMA_0418 - Beveiligingstraining bieden voordat u toegang verleent	Handmatig, uitgeschakeld	1.1.0
Beveiligingstraining bieden voor nieuwe gebruikers	CMA_0419 - Beveiligingstraining bieden voor nieuwe gebruikers	Handmatig, uitgeschakeld	1.1.0
Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten	Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt.	AuditIfNotExists, uitgeschakeld	1.0.1

COSO-principe 15

Id: SOC 2 Type 2 CC2.3 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
De taken van processors definiëren	CMA_0127 - De taken van processors definiëren	Handmatig, uitgeschakeld	1.1.0
Resultaten van beveiligingsevaluatie leveren	CMA_C1147 - Resultaten van beveiligingsevaluatie leveren	Handmatig, uitgeschakeld	1.1.0
Een systeembeveiligingsplan ontwikkelen en opzetten	CMA_0151 - Een systeembeveiligingsplan ontwikkelen en opzetten	Handmatig, uitgeschakeld	1.1.0
E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld	Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center.	AuditIfNotExists, uitgeschakeld	1.0.1
E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld	Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center.	AuditIfNotExists, uitgeschakeld	2.0.0
Beveiligingsvereisten instellen voor de productie van verbonden apparaten	CMA_0279 : beveiligingsvereisten instellen voor de productie van verbonden apparaten	Handmatig, uitgeschakeld	1.1.0
Beveiligingsvereisten voor personeel van derden vaststellen	CMA_C1529 - Beveiligingsvereisten voor personeel van derden vaststellen	Handmatig, uitgeschakeld	1.1.0
Leveringsmethoden voor privacyverklaring implementeren	CMA_0324 - Leveringsmethoden voor privacyverklaring implementeren	Handmatig, uitgeschakeld	1.1.0
Beveiligingstechniekprincipes van informatiesystemen implementeren	CMA_0325 - Beveiligingstechniekprincipes van informatiesystemen implementeren	Handmatig, uitgeschakeld	1.1.0
Rapport Beveiligingsevaluatie produceren	CMA_C1146 - Rapport Beveiligingsevaluatie produceren	Handmatig, uitgeschakeld	1.1.0
Privacyverklaring opgeven	CMA_0414 - Privacyverklaring opgeven	Handmatig, uitgeschakeld	1.1.0
Vereisen dat externe providers voldoen aan beveiligingsbeleid en procedures voor personeel	CMA_C1530 - Vereisen dat externe providers voldoen aan het beveiligingsbeleid en de procedures voor personeelsbeveiliging	Handmatig, uitgeschakeld	1.1.0
Communicatie beperken	CMA_0449 - Communicatie beperken	Handmatig, uitgeschakeld	1.1.0
Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten	Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt.	AuditIfNotExists, uitgeschakeld	1.0.1

Risicobeoordeling

COSO-principe 6

Id: SOC 2 Type 2 CC3.1 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Gegevens categoriseren	CMA_0052 - Gegevens categoriseren	Handmatig, uitgeschakeld	1.1.0
Vereisten voor gegevensbeveiliging bepalen	CMA_C1750 - Bepaal de behoeften voor gegevensbeveiliging	Handmatig, uitgeschakeld	1.1.0
Bedrijfsclassificatieschema's ontwikkelen	CMA_0155 - Bedrijfsclassificatieschema's ontwikkelen	Handmatig, uitgeschakeld	1.1.0
SSP ontwikkelen die voldoet aan criteria	CMA_C1492 - SSP ontwikkelen die voldoet aan criteria	Handmatig, uitgeschakeld	1.1.0
Een strategie voor risicobeheer vaststellen	CMA_0258 - Een strategie voor risicobeheer instellen	Handmatig, uitgeschakeld	1.1.0
Een risicoanalyse uitvoeren	CMA_0388 - Een risicoanalyse uitvoeren	Handmatig, uitgeschakeld	1.1.0
Labelactiviteit en -analyse controleren	CMA_0474 - Labelactiviteit en -analyse controleren	Handmatig, uitgeschakeld	1.1.0

COSO-principe 7

Id: SOC 2 Type 2 CC3.2 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Gegevens categoriseren	CMA_0052 - Gegevens categoriseren	Handmatig, uitgeschakeld	1.1.0
Vereisten voor gegevensbeveiliging bepalen	CMA_C1750 - Bepaal de behoeften voor gegevensbeveiliging	Handmatig, uitgeschakeld	1.1.0
Bedrijfsclassificatieschema's ontwikkelen	CMA_0155 - Bedrijfsclassificatieschema's ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Een strategie voor risicobeheer vaststellen	CMA_0258 - Een strategie voor risicobeheer instellen	Handmatig, uitgeschakeld	1.1.0
Een risicoanalyse uitvoeren	CMA_0388 - Een risicoanalyse uitvoeren	Handmatig, uitgeschakeld	1.1.0
Beveiligingsscans uitvoeren	CMA_0393 - Beveiligingsscans uitvoeren	Handmatig, uitgeschakeld	1.1.0
Fouten in het informatiesysteem oplossen	CMA_0427 - Fouten in het informatiesysteem herstellen	Handmatig, uitgeschakeld	1.1.0
Labelactiviteit en -analyse controleren	CMA_0474 - Labelactiviteit en -analyse controleren	Handmatig, uitgeschakeld	1.1.0
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor SQL Managed Instance	Controleer elke SQL Managed Instance waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen.	AuditIfNotExists, uitgeschakeld	1.0.1
De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers	Controleer Azure SQL-servers waarvoor de evaluatie van beveiligingsproblemen niet juist is geconfigureerd. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen.	AuditIfNotExists, uitgeschakeld	3.0.0

COSO-principe 8

Id: SOC 2 Type 2 CC3.3 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Een risicoanalyse uitvoeren	CMA_0388 - Een risicoanalyse uitvoeren	Handmatig, uitgeschakeld	1.1.0

COSO-principe 9

Id: SOC 2 Type 2 CC3.4 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Risico's beoordelen in relaties van derden	CMA_0014 - Risico's beoordelen in relaties van derden	Handmatig, uitgeschakeld	1.1.0
Vereisten definiëren voor het leveren van goederen en diensten	CMA_0126 - Vereisten voor het leveren van goederen en diensten definiëren	Handmatig, uitgeschakeld	1.1.0
Contractverplichtingen van leveranciers bepalen	CMA_0140 - Contractverplichtingen van leveranciers bepalen	Handmatig, uitgeschakeld	1.1.0
Een strategie voor risicobeheer vaststellen	CMA_0258 - Een strategie voor risicobeheer instellen	Handmatig, uitgeschakeld	1.1.0
Beleid opstellen voor toeleveringsketenrisicobeheer	CMA_0275 - Beleid voor toeleveringsketenrisicobeheer instellen	Handmatig, uitgeschakeld	1.1.0
Een risicoanalyse uitvoeren	CMA_0388 - Een risicoanalyse uitvoeren	Handmatig, uitgeschakeld	1.1.0

Bewakingsactiviteiten

COSO-principe 16

Id: SOC 2 Type 2 CC4.1 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Beveiligingscontroles evalueren	CMA_C1145 - Beveiligingscontroles evalueren	Handmatig, uitgeschakeld	1.1.0
Beveiligingsevaluatieplan ontwikkelen	CMA_C1144 - Beveiligingsevaluatieplan ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Aanvullende tests selecteren voor evaluaties van beveiligingsbeheer	CMA_C1149 - Aanvullende tests selecteren voor evaluaties van beveiligingsbeheer	Handmatig, uitgeschakeld	1.1.0

COSO-principe 17

Id: SOC 2 Type 2 CC4.2 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Resultaten van beveiligingsevaluatie leveren	CMA_C1147 - Resultaten van beveiligingsevaluatie leveren	Handmatig, uitgeschakeld	1.1.0
Rapport Beveiligingsevaluatie produceren	CMA_C1146 - Rapport Beveiligingsevaluatie produceren	Handmatig, uitgeschakeld	1.1.0

Activiteiten beheren

COSO-principe 10

Id: SOC 2 Type 2 CC5.1 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Een strategie voor risicobeheer vaststellen	CMA_0258 - Een strategie voor risicobeheer instellen	Handmatig, uitgeschakeld	1.1.0
Een risicoanalyse uitvoeren	CMA_0388 - Een risicoanalyse uitvoeren	Handmatig, uitgeschakeld	1.1.0

COSO-principe 11

Id: SOC 2 Type 2 CC5.2 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Er moeten maximaal 3 eigenaren worden aangewezen voor uw abonnement	Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken.	AuditIfNotExists, uitgeschakeld	3.0.0
Geblokkeerde accounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd	Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd.	AuditIfNotExists, uitgeschakeld	1.0.0
Een model voor toegangsbeheer ontwerpen	CMA_0129 - Een model voor toegangsbeheer ontwerpen	Handmatig, uitgeschakeld	1.1.0
Contractverplichtingen van leveranciers bepalen	CMA_0140 - Contractverplichtingen van leveranciers bepalen	Handmatig, uitgeschakeld	1.1.0
Acceptatiecriteria voor overnamecontract documenteren	CMA_0187 - Acceptatiecriteria voor documentaankoopcontract	Handmatig, uitgeschakeld	1.1.0
Documentbescherming van persoonsgegevens in overnamecontracten	CMA_0194 - Documentbescherming van persoonsgegevens in overnamecontracten	Handmatig, uitgeschakeld	1.1.0
Documentbescherming van beveiligingsgegevens in overnamecontracten	CMA_0195 - Documentbescherming van beveiligingsgegevens in overnamecontracten	Handmatig, uitgeschakeld	1.1.0
Documentvereisten voor het gebruik van gedeelde gegevens in contracten	CMA_0197 - Documentvereisten voor het gebruik van gedeelde gegevens in contracten	Handmatig, uitgeschakeld	1.1.0
Vereisten voor beveiligingscontrole in overnamecontracten documenteer	CMA_0199 - Vereisten voor beveiligingscontrole vastleggen in overnamecontracten	Handmatig, uitgeschakeld	1.1.0
Documentbeveiligingsdocumentatievereisten in overnamecontract	CMA_0200 - Documentbeveiligingsdocumentatievereisten in overnamecontract	Handmatig, uitgeschakeld	1.1.0
Functionele vereisten voor beveiliging documentleren in overnamecontracten	CMA_0201 - Functionele vereisten voor beveiliging document in overnamecontracten	Handmatig, uitgeschakeld	1.1.0
Vereisten voor beveiligingssterkte documenteer in overnamecontracten	CMA_0203 - Vereisten voor beveiligingssterkte documenteer in overnamecontracten	Handmatig, uitgeschakeld	1.1.0
Documenteer de informatiesysteemomgeving in overnamecontracten	CMA_0205 - Documenteer de informatiesysteemomgeving in overnamecontracten	Handmatig, uitgeschakeld	1.1.0
Documenteer de bescherming van gegevens van de kaarthouder in contracten van derden	CMA_0207 - Documenteer de bescherming van gegevens van de kaarthouder in contracten van derden	Handmatig, uitgeschakeld	1.1.0
Minimale toegang tot bevoegdheden gebruiken	CMA_0212 - Toegang tot minimale bevoegdheden gebruiken	Handmatig, uitgeschakeld	1.1.0
Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd	Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.	AuditIfNotExists, uitgeschakeld	1.0.0
Een risicoanalyse uitvoeren	CMA_0388 - Een risicoanalyse uitvoeren	Handmatig, uitgeschakeld	1.1.0
Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement	Het is raadzaam meer dan één abonnementseigenaar toe te wijzen voor toegangsredundantie voor beheerders.	AuditIfNotExists, uitgeschakeld	3.0.0

COSO-principe 12

Id: SOC 2 Type 2 CC5.3 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Whitelist voor detectie configureren	CMA_0068 - Whitelist voor detectie configureren	Handmatig, uitgeschakeld	1.1.0
Een risicoanalyse uitvoeren	CMA_0388 - Een risicoanalyse uitvoeren	Handmatig, uitgeschakeld	1.1.0
Sensoren inschakelen voor eindpuntbeveiligingsoplossing	CMA_0514 - Sensoren inschakelen voor eindpuntbeveiligingsoplossing	Handmatig, uitgeschakeld	1.1.0
Onafhankelijke beveiligingsbeoordeling ondergaan	CMA_0515 - Onafhankelijke beveiligingsbeoordeling ondergaan	Handmatig, uitgeschakeld	1.1.0

Besturingselementen voor logische en fysieke toegang

Beveiligingssoftware, infrastructuur en architecturen voor logische toegang

Id: SOC 2 Type 2 CC6.1 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Er moeten maximaal 3 eigenaren worden aangewezen voor uw abonnement	Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken.	AuditIfNotExists, uitgeschakeld	3.0.0
Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld	Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.	AuditIfNotExists, uitgeschakeld	1.0.0
Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld	Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.	AuditIfNotExists, uitgeschakeld	1.0.0
Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld	Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.	AuditIfNotExists, uitgeschakeld	1.0.0
Biometrische verificatiemechanismen aannemen	CMA_0005 - Biometrische verificatiemechanismen aannemen	Handmatig, uitgeschakeld	1.1.0
Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine	Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen.	AuditIfNotExists, uitgeschakeld	3.0.0
App Service-apps mogen alleen toegankelijk zijn via HTTPS	Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.	Controleren, uitgeschakeld, weigeren	4.0.0
App Service-apps mogen alleen FTPS vereisen	FTPS-afdwinging inschakelen voor verbeterde beveiliging.	AuditIfNotExists, uitgeschakeld	3.0.0
Voor verificatie op Linux-machines moeten SSH-sleutels zijn vereist	Hoewel SSH zelf een versleutelde verbinding biedt, blijft het gebruik van wachtwoorden met SSH de VM kwetsbaar voor beveiligingsaanvallen. De veiligste optie voor verificatie bij een virtuele Azure Linux-machine via SSH is met een openbaar-persoonlijk sleutelpaar, ook wel SSH-sleutels genoemd. Meer informatie: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, uitgeschakeld	2.4.0
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Externe toegang autoriseren	CMA_0024 - Externe toegang autoriseren	Handmatig, uitgeschakeld	1.1.0
Automation-accountvariabelen moeten worden versleuteld	Het is belangrijk om de versleuteling van variabele activa in een Automation-account in te schakelen bij het opslaan van gevoelige gegevens	Controleren, Weigeren, Uitgeschakeld	1.1.0
Voor Azure Cosmos DB-accounts moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest	Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve Azure Cosmos DB te beheren. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/cosmosdb-cmk.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	1.1.0
Azure Machine Learning-werkruimten moeten worden versleuteld met een door de klant beheerde sleutel	Versleuteling at rest van Azure Machine Learning-werkruimtegegevens beheren met door de klant beheerde sleutels. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/azureml-workspaces-cmk.	Controleren, Weigeren, Uitgeschakeld	1.0.3
Geblokkeerde accounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd	Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd.	AuditIfNotExists, uitgeschakeld	1.0.0
Cognitive Services-accounts moeten gegevensversleuteling inschakelen met een door de klant beheerde sleutel	Door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens die zijn opgeslagen in Cognitive Services worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie over door de klant beheerde sleutels vindt u op https://go.microsoft.com/fwlink/?linkid=2121321.	Controleren, Weigeren, Uitgeschakeld	2.1.0
Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel	Gebruik door de klant beheerde sleutels voor het beheren van de versleuteling van de rest van de inhoud van uw registers. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/acr/CMK.	Controleren, Weigeren, Uitgeschakeld	1.1.2
Informatiestroom beheren	CMA_0079 - Informatiestroom beheren	Handmatig, uitgeschakeld	1.1.0
Fysieke toegang beheren	CMA_0081 - Fysieke toegang beheren	Handmatig, uitgeschakeld	1.1.0
Een gegevensinventaris maken	CMA_0096 - Een gegevensinventaris maken	Handmatig, uitgeschakeld	1.1.0
Een beheerproces voor fysieke sleutels definiëren	CMA_0115 - Een beheerproces voor fysieke sleutels definiëren	Handmatig, uitgeschakeld	1.1.0
Cryptografisch gebruik definiëren	CMA_0120 - Cryptografisch gebruik definiëren	Handmatig, uitgeschakeld	1.1.0
Organisatievereisten definiëren voor cryptografisch sleutelbeheer	CMA_0123 - Organisatievereisten voor cryptografisch sleutelbeheer definiëren	Handmatig, uitgeschakeld	1.1.0
Een model voor toegangsbeheer ontwerpen	CMA_0129 - Een model voor toegangsbeheer ontwerpen	Handmatig, uitgeschakeld	1.1.0
Assertievereisten bepalen	CMA_0136 - Assertievereisten bepalen	Handmatig, uitgeschakeld	1.1.0
Training voor documentmobiliteit	CMA_0191 - Training voor documentmobiliteit	Handmatig, uitgeschakeld	1.1.0
Richtlijnen voor externe toegang document	CMA_0196 - Richtlijnen voor externe toegang document	Handmatig, uitgeschakeld	1.1.0
Mechanismen voor stroombeheer van versleutelde informatie gebruiken	CMA_0211 - Mechanismen voor stroombeheer van versleutelde informatie gebruiken	Handmatig, uitgeschakeld	1.1.0
Minimale toegang tot bevoegdheden gebruiken	CMA_0212 - Toegang tot minimale bevoegdheden gebruiken	Handmatig, uitgeschakeld	1.1.0
Logische toegang afdwingen	CMA_0245 - Logische toegang afdwingen	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0
SSL-verbinding afdwingen moet worden ingeschakeld voor MySQL-databaseservers	Azure Database for MySQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for MySQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver.	Controle, uitgeschakeld	1.0.1
SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseservers	Azure Database for PostgreSQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for PostgreSQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver.	Controle, uitgeschakeld	1.0.1
Een beheerprocedure voor gegevenslekken instellen	CMA_0255 - Een beheerprocedure voor gegevenslekken instellen	Handmatig, uitgeschakeld	1.1.0
Configuratiestandaarden voor firewall en router instellen	CMA_0272 - Configuratiestandaarden voor firewall en router instellen	Handmatig, uitgeschakeld	1.1.0
Netwerksegmentatie instellen voor kaarthoudergegevensomgeving	CMA_0273 - Netwerksegmentatie instellen voor de gegevensomgeving van de kaarthouder	Handmatig, uitgeschakeld	1.1.0
Functie-apps mogen alleen toegankelijk zijn via HTTPS	Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.	Controleren, uitgeschakeld, weigeren	5.0.0
Functie-apps mogen alleen FTPS vereisen	FTPS-afdwinging inschakelen voor verbeterde beveiliging.	AuditIfNotExists, uitgeschakeld	3.0.0
Functie-apps moeten de nieuwste TLS-versie gebruiken	Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie.	AuditIfNotExists, uitgeschakeld	2.0.1
Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd	Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.	AuditIfNotExists, uitgeschakeld	1.0.0
Downstreaminformatie-uitwisselingen identificeren en beheren	CMA_0298 : downstreaminformatieuitwisseling identificeren en beheren	Handmatig, uitgeschakeld	1.1.0
Besturingselementen implementeren om alternatieve werksites te beveiligen	CMA_0315 - Besturingselementen implementeren om alternatieve werksites te beveiligen	Handmatig, uitgeschakeld	1.1.0
Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden	CMA_0323 - Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden	Handmatig, uitgeschakeld	1.1.0
Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen	Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc	AuditIfNotExists, uitgeschakeld	3.0.0
Certificaten voor openbare sleutels uitgeven	CMA_0347 - Openbare-sleutelcertificaten uitgeven	Handmatig, uitgeschakeld	1.1.0
Voor sleutelkluizen moet verwijderingsbeveiliging zijn ingeschakeld	Kwaadwillende verwijdering van een sleutelkluis kan leiden tot permanent gegevensverlies. U kunt permanent gegevensverlies voorkomen door beveiliging tegen opschonen en voorlopig verwijderen in te schakelen. Beveiliging tegen leegmaken beschermt u tegen aanvallen van insiders door een verplichte bewaarperiode tijdens voorlopige verwijdering af te dwingen voor sleutelkluizen. Gedurende de periode van voorlopige verwijdering kan niemand binnen uw organisatie of Microsoft uw sleutelkluizen leegmaken. Houd er rekening mee dat sleutelkluizen die na 1 september 2019 zijn gemaakt, standaard voorlopig verwijderen zijn ingeschakeld.	Controleren, Weigeren, Uitgeschakeld	2.1.0
Voorlopig verwijderen moet zijn ingeschakeld voor sleutelkluizen	Als u een sleutelkluis verwijdert zonder dat de functie voor voorlopig verwijderen is ingeschakeld, worden alle geheimen, sleutels en certificaten die zijn opgeslagen in de sleutelkluis permanent verwijderd. Onbedoeld verwijderen van een sleutelkluis kan leiden tot permanent gegevensverlies. Met voorlopig verwijderen kunt u een per ongeluk verwijderde sleutelkluis herstellen voor een configureerbare bewaarperiode.	Controleren, Weigeren, Uitgeschakeld	3.0.0
Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS	Het gebruik van HTTPS zorgt voor verificatie en beschermt gegevens tijdens overdracht tegen aanvallen op netwerklagen. Deze mogelijkheid is momenteel algemeen beschikbaar voor Kubernetes Service (AKS) en in preview voor Kubernetes met Azure Arc. Ga voor meer informatie naar https://aka.ms/kubepolicydoc	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	9.1.0
Records bijhouden van de verwerking van persoonsgegevens	CMA_0353 - Records van de verwerking van persoonsgegevens bijhouden	Handmatig, uitgeschakeld	1.1.0
Symmetrische cryptografische sleutels beheren	CMA_0367 - Symmetrische cryptografische sleutels beheren	Handmatig, uitgeschakeld	1.1.0
De invoer, uitvoer, verwerking en opslag van gegevens beheren	CMA_0369 - De invoer, uitvoer, verwerking en opslag van gegevens beheren	Handmatig, uitgeschakeld	1.1.0
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer	Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center	AuditIfNotExists, uitgeschakeld	3.0.0
Beheerpoorten moeten gesloten zijn op uw virtuele machines	Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen.	AuditIfNotExists, uitgeschakeld	3.0.0
Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen	Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc	AuditIfNotExists, uitgeschakeld	3.0.0
Gebruikers op de hoogte stellen van systeemaanmelding of -toegang	CMA_0382 - Gebruikers op de hoogte stellen van systeemaanmelding of -toegang	Handmatig, uitgeschakeld	1.1.0
Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeld	Inschakeling van alleen verbindingen via SSL met Azure Cache voor Redis controleren. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking	Controleren, Weigeren, Uitgeschakeld	1.0.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Speciale informatie beveiligen	CMA_0409 - Speciale informatie beveiligen	Handmatig, uitgeschakeld	1.1.0
Privacytraining bieden	CMA_0415 - Privacytraining bieden	Handmatig, uitgeschakeld	1.1.0
Goedkeuring vereisen voor het maken van een account	CMA_0431 - Goedkeuring vereisen voor het maken van accounts	Handmatig, uitgeschakeld	1.1.0
Toegang tot persoonlijke sleutels beperken	CMA_0445 - Toegang tot persoonlijke sleutels beperken	Handmatig, uitgeschakeld	1.1.0
Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens	CMA_0481 - Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens	Handmatig, uitgeschakeld	1.1.0
Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld	Controleer de vereiste van beveiligde overdracht in uw opslagaccount. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking	Controleren, Weigeren, Uitgeschakeld	2.0.0
Voor Service Fabric-clusters moet de eigenschap ClusterProtectionLevel zijn ingesteld op EncryptAndSign	Service Fabric kent drie niveaus van beveiliging (None, Sign en EncryptAndSign) voor communicatie tussen knooppunten en gebruikt hierbij een primair clustercertificaat. Stel het beveiligingsniveau in om te zorgen dat alle berichten van en naar knooppunten worden versleuteld en digitaal worden ondertekend	Controleren, Weigeren, Uitgeschakeld	1.1.0
Voor met SQL beheerde exemplaren moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest	TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt u verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste.	Controleren, Weigeren, Uitgeschakeld	2.0.0
Voor SQL Server moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest	TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste.	Controleren, Weigeren, Uitgeschakeld	2.0.1
Het opslagaccount met de container met activiteitenlogboeken moet worden versleuteld met BYOK	Dit beleid controleert of het opslagaccount met de container met activiteitenlogboeken is versleuteld met BYOK. Het beleid werkt alleen als het opslagaccount is gebaseerd op hetzelfde abonnement als voor activiteitenlogboeken. Meer informatie over Azure Storage-versleuteling in rust vindt u hier https://aka.ms/azurestoragebyok.	AuditIfNotExists, uitgeschakeld	1.0.0
Opslagaccounts moeten door de klant beheerde sleutel gebruiken voor versleuteling	Beveilig uw blob- en bestandsopslagaccount met meer flexibiliteit met behulp van door de klant beheerde sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van door de klant beheerde sleutels biedt extra mogelijkheden om de rotatie van de sleutelversleutelingssleutel te beheren of gegevens cryptografisch te wissen.	Controle, uitgeschakeld	1.0.3
Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep	Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd.	AuditIfNotExists, uitgeschakeld	3.0.0
Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement	Het is raadzaam meer dan één abonnementseigenaar toe te wijzen voor toegangsredundantie voor beheerders.	AuditIfNotExists, uitgeschakeld	3.0.0
Transparent Data Encryption in SQL-databases moet zijn ingeschakeld	Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereisten	AuditIfNotExists, uitgeschakeld	2.0.0
Virtuele machines moeten tijdelijke schijven, caches en gegevensstromen tussen reken- en opslagresources versleutelen	Standaard worden het besturingssysteem en de gegevensschijven van een virtuele machine versleuteld at rest met behulp van door het platform beheerde sleutels. Tijdelijke schijven, gegevenscaches en gegevensstromen tussen berekening en opslag worden niet versleuteld. Negeer deze aanbeveling als: 1. met behulp van versleuteling op host of 2. versleuteling aan de serverzijde op Beheerde schijven voldoet aan uw beveiligingsvereisten. Meer informatie in: Versleuteling aan de serverzijde van Azure Disk Storage: https://aka.ms/disksse, Verschillende schijfversleutelingsaanbiedingen: https://aka.ms/diskencryptioncomparison	AuditIfNotExists, uitgeschakeld	2.0.3
Windows-computers moeten worden geconfigureerd voor het gebruik van veilige communicatieprotocollen	Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw computers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk door een verbinding tussen machines te versleutelen.	AuditIfNotExists, uitgeschakeld	3.0.1

Toegang tot inrichting en verwijdering

Id: SOC 2 Type 2 CC6.2 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Accountbeheerders toewijzen	CMA_0015 - Accountmanagers toewijzen	Handmatig, uitgeschakeld	1.1.0
Status van gebruikersaccount controleren	CMA_0020 - Status van gebruikersaccount controleren	Handmatig, uitgeschakeld	1.1.0
Geblokkeerde accounts met lees- en schrijfmachtigingen voor Azure-resources moeten worden verwijderd	Afgeschafte accounts moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd.	AuditIfNotExists, uitgeschakeld	1.0.0
Toegangsbevoegdheden voor documenten	CMA_0186 - Toegangsrechten voor documenten	Handmatig, uitgeschakeld	1.1.0
Voorwaarden instellen voor rollidmaatschap	CMA_0269 - Voorwaarden voor rollidmaatschap instellen	Handmatig, uitgeschakeld	1.1.0
Gastaccounts met leesmachtigingen voor Azure-resources moeten worden verwijderd	Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.	AuditIfNotExists, uitgeschakeld	1.0.0
Gastaccounts met schrijfmachtigingen voor Azure-resources moeten worden verwijderd	Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.	AuditIfNotExists, uitgeschakeld	1.0.0
Goedkeuring vereisen voor het maken van een account	CMA_0431 - Goedkeuring vereisen voor het maken van accounts	Handmatig, uitgeschakeld	1.1.0
Toegang tot bevoegde accounts beperken	CMA_0446 - Toegang tot bevoegde accounts beperken	Handmatig, uitgeschakeld	1.1.0
Accountinrichtingslogboeken controleren	CMA_0460 - Accountinrichtingslogboeken controleren	Handmatig, uitgeschakeld	1.1.0
Gebruikersaccounts controleren	CMA_0480 - Gebruikersaccounts controleren	Handmatig, uitgeschakeld	1.1.0

Op Rollen gebaseerde toegang en minimale bevoegdheid

Id: SOC 2 Type 2 CC6.3 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Er moeten maximaal 3 eigenaren worden aangewezen voor uw abonnement	Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken.	AuditIfNotExists, uitgeschakeld	3.0.0
Bevoegde functies controleren	CMA_0019 - Bevoegde functies controleren	Handmatig, uitgeschakeld	1.1.0
Gebruik van aangepaste RBAC-rollen controleren	Ingebouwde rollen controleren, zoals Eigenaar, Bijdrager, Lezer, in plaats van aangepaste RBAC-rollen, die gevoelig zijn voor fouten. Het gebruik van aangepaste rollen wordt behandeld als een uitzondering en vereist een rigoureuze beoordeling en bedreigingsmodellering	Controle, uitgeschakeld	1.0.1
Status van gebruikersaccount controleren	CMA_0020 - Status van gebruikersaccount controleren	Handmatig, uitgeschakeld	1.1.0
Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services	Als u gedetailleerde filters wilt bieden voor de acties die gebruikers kunnen uitvoeren, gebruikt u Op rollen gebaseerd toegangsbeheer (RBAC) van Azure voor het beheren van machtigingen in Kubernetes Service-clusters en configureert u relevante autorisatiebeleidsregels.	Controle, uitgeschakeld	1.0.3
Geblokkeerde accounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd	Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd.	AuditIfNotExists, uitgeschakeld	1.0.0
Geblokkeerde accounts met lees- en schrijfmachtigingen voor Azure-resources moeten worden verwijderd	Afgeschafte accounts moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd.	AuditIfNotExists, uitgeschakeld	1.0.0
Een model voor toegangsbeheer ontwerpen	CMA_0129 - Een model voor toegangsbeheer ontwerpen	Handmatig, uitgeschakeld	1.1.0
Minimale toegang tot bevoegdheden gebruiken	CMA_0212 - Toegang tot minimale bevoegdheden gebruiken	Handmatig, uitgeschakeld	1.1.0
Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd	Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.	AuditIfNotExists, uitgeschakeld	1.0.0
Gastaccounts met leesmachtigingen voor Azure-resources moeten worden verwijderd	Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.	AuditIfNotExists, uitgeschakeld	1.0.0
Gastaccounts met schrijfmachtigingen voor Azure-resources moeten worden verwijderd	Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.	AuditIfNotExists, uitgeschakeld	1.0.0
Bevoorrechte roltoewijzing bewaken	CMA_0378 - Bevoorrechte roltoewijzing bewaken	Handmatig, uitgeschakeld	1.1.0
Toegang tot bevoegde accounts beperken	CMA_0446 - Toegang tot bevoegde accounts beperken	Handmatig, uitgeschakeld	1.1.0
Accountinrichtingslogboeken controleren	CMA_0460 - Accountinrichtingslogboeken controleren	Handmatig, uitgeschakeld	1.1.0
Gebruikersaccounts controleren	CMA_0480 - Gebruikersaccounts controleren	Handmatig, uitgeschakeld	1.1.0
Gebruikersbevoegdheden controleren	CMA_C1039 - Gebruikersbevoegdheden controleren	Handmatig, uitgeschakeld	1.1.0
Bevoorrechte rollen intrekken, indien van toepassing	CMA_0483 - Bevoegde rollen intrekken, indien van toepassing	Handmatig, uitgeschakeld	1.1.0
Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement	Het is raadzaam meer dan één abonnementseigenaar toe te wijzen voor toegangsredundantie voor beheerders.	AuditIfNotExists, uitgeschakeld	3.0.0
Privileged Identity Management gebruiken	CMA_0533 - Privileged Identity Management gebruiken	Handmatig, uitgeschakeld	1.1.0

Beperkte fysieke toegang

Id: SOC 2 Type 2 CC6.4 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Fysieke toegang beheren	CMA_0081 - Fysieke toegang beheren	Handmatig, uitgeschakeld	1.1.0

Logische en fysieke beveiliging via fysieke assets

Id: SOC 2 Type 2 CC6.5 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Een mechanisme voor het opschonen van media gebruiken	CMA_0208 - Een mechanisme voor media-opschoning gebruiken	Handmatig, uitgeschakeld	1.1.0
Besturingselementen implementeren om alle media te beveiligen	CMA_0314 - Besturingselementen implementeren om alle media te beveiligen	Handmatig, uitgeschakeld	1.1.0

Beveiligingsmaatregelen tegen bedreigingen buiten systeemgrenzen

Id: SOC 2 Type 2 CC6.6 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld	Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.	AuditIfNotExists, uitgeschakeld	1.0.0
Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld	Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.	AuditIfNotExists, uitgeschakeld	1.0.0
Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld	Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.	AuditIfNotExists, uitgeschakeld	1.0.0
Biometrische verificatiemechanismen aannemen	CMA_0005 - Biometrische verificatiemechanismen aannemen	Handmatig, uitgeschakeld	1.1.0
Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine	Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen.	AuditIfNotExists, uitgeschakeld	3.0.0
App Service-apps mogen alleen toegankelijk zijn via HTTPS	Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.	Controleren, uitgeschakeld, weigeren	4.0.0
App Service-apps mogen alleen FTPS vereisen	FTPS-afdwinging inschakelen voor verbeterde beveiliging.	AuditIfNotExists, uitgeschakeld	3.0.0
Voor verificatie op Linux-machines moeten SSH-sleutels zijn vereist	Hoewel SSH zelf een versleutelde verbinding biedt, blijft het gebruik van wachtwoorden met SSH de VM kwetsbaar voor beveiligingsaanvallen. De veiligste optie voor verificatie bij een virtuele Azure Linux-machine via SSH is met een openbaar-persoonlijk sleutelpaar, ook wel SSH-sleutels genoemd. Meer informatie: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, uitgeschakeld	2.4.0
Externe toegang autoriseren	CMA_0024 - Externe toegang autoriseren	Handmatig, uitgeschakeld	1.1.0
Azure Web Application Firewall moet zijn ingeschakeld voor Azure Front Door-invoerpunten	Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels.	Controleren, Weigeren, Uitgeschakeld	1.0.2
Informatiestroom beheren	CMA_0079 - Informatiestroom beheren	Handmatig, uitgeschakeld	1.1.0
Training voor documentmobiliteit	CMA_0191 - Training voor documentmobiliteit	Handmatig, uitgeschakeld	1.1.0
Richtlijnen voor externe toegang document	CMA_0196 - Richtlijnen voor externe toegang document	Handmatig, uitgeschakeld	1.1.0
Mechanismen voor stroombeheer van versleutelde informatie gebruiken	CMA_0211 - Mechanismen voor stroombeheer van versleutelde informatie gebruiken	Handmatig, uitgeschakeld	1.1.0
SSL-verbinding afdwingen moet worden ingeschakeld voor MySQL-databaseservers	Azure Database for MySQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for MySQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver.	Controle, uitgeschakeld	1.0.1
SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseservers	Azure Database for PostgreSQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for PostgreSQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver.	Controle, uitgeschakeld	1.0.1
Configuratiestandaarden voor firewall en router instellen	CMA_0272 - Configuratiestandaarden voor firewall en router instellen	Handmatig, uitgeschakeld	1.1.0
Netwerksegmentatie instellen voor kaarthoudergegevensomgeving	CMA_0273 - Netwerksegmentatie instellen voor de gegevensomgeving van de kaarthouder	Handmatig, uitgeschakeld	1.1.0
Functie-apps mogen alleen toegankelijk zijn via HTTPS	Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.	Controleren, uitgeschakeld, weigeren	5.0.0
Functie-apps mogen alleen FTPS vereisen	FTPS-afdwinging inschakelen voor verbeterde beveiliging.	AuditIfNotExists, uitgeschakeld	3.0.0
Functie-apps moeten de nieuwste TLS-versie gebruiken	Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie.	AuditIfNotExists, uitgeschakeld	2.0.1
Netwerkapparaten identificeren en verifiëren	CMA_0296 - Netwerkapparaten identificeren en verifiëren	Handmatig, uitgeschakeld	1.1.0
Downstreaminformatie-uitwisselingen identificeren en beheren	CMA_0298 : downstreaminformatieuitwisseling identificeren en beheren	Handmatig, uitgeschakeld	1.1.0
Besturingselementen implementeren om alternatieve werksites te beveiligen	CMA_0315 - Besturingselementen implementeren om alternatieve werksites te beveiligen	Handmatig, uitgeschakeld	1.1.0
Systeemgrensbescherming implementeren	CMA_0328 - Systeemgrensbescherming implementeren	Handmatig, uitgeschakeld	1.1.0
Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen	Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc	AuditIfNotExists, uitgeschakeld	3.0.0
Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld	Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam.	AuditIfNotExists, uitgeschakeld	3.0.0
Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS	Het gebruik van HTTPS zorgt voor verificatie en beschermt gegevens tijdens overdracht tegen aanvallen op netwerklagen. Deze mogelijkheid is momenteel algemeen beschikbaar voor Kubernetes Service (AKS) en in preview voor Kubernetes met Azure Arc. Ga voor meer informatie naar https://aka.ms/kubepolicydoc	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	9.1.0
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer	Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center	AuditIfNotExists, uitgeschakeld	3.0.0
Beheerpoorten moeten gesloten zijn op uw virtuele machines	Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen.	AuditIfNotExists, uitgeschakeld	3.0.0
Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen	Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc	AuditIfNotExists, uitgeschakeld	3.0.0
Gebruikers op de hoogte stellen van systeemaanmelding of -toegang	CMA_0382 - Gebruikers op de hoogte stellen van systeemaanmelding of -toegang	Handmatig, uitgeschakeld	1.1.0
Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeld	Inschakeling van alleen verbindingen via SSL met Azure Cache voor Redis controleren. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking	Controleren, Weigeren, Uitgeschakeld	1.0.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Privacytraining bieden	CMA_0415 - Privacytraining bieden	Handmatig, uitgeschakeld	1.1.0
Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld	Controleer de vereiste van beveiligde overdracht in uw opslagaccount. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking	Controleren, Weigeren, Uitgeschakeld	2.0.0
Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep	Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd.	AuditIfNotExists, uitgeschakeld	3.0.0
Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway	Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels.	Controleren, Weigeren, Uitgeschakeld	2.0.0
Windows-computers moeten worden geconfigureerd voor het gebruik van veilige communicatieprotocollen	Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw computers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk door een verbinding tussen machines te versleutelen.	AuditIfNotExists, uitgeschakeld	3.0.1

Het verplaatsen van gegevens beperken tot geautoriseerde gebruikers

Id: SOC 2 Type 2 CC6.7 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine	Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen.	AuditIfNotExists, uitgeschakeld	3.0.0
App Service-apps mogen alleen toegankelijk zijn via HTTPS	Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.	Controleren, uitgeschakeld, weigeren	4.0.0
App Service-apps mogen alleen FTPS vereisen	FTPS-afdwinging inschakelen voor verbeterde beveiliging.	AuditIfNotExists, uitgeschakeld	3.0.0
Werkstations configureren om te controleren op digitale certificaten	CMA_0073 - Werkstations configureren om te controleren op digitale certificaten	Handmatig, uitgeschakeld	1.1.0
Informatiestroom beheren	CMA_0079 - Informatiestroom beheren	Handmatig, uitgeschakeld	1.1.0
Vereisten voor mobiele apparaten definiëren	CMA_0122 - Vereisten voor mobiele apparaten definiëren	Handmatig, uitgeschakeld	1.1.0
Een mechanisme voor het opschonen van media gebruiken	CMA_0208 - Een mechanisme voor media-opschoning gebruiken	Handmatig, uitgeschakeld	1.1.0
Mechanismen voor stroombeheer van versleutelde informatie gebruiken	CMA_0211 - Mechanismen voor stroombeheer van versleutelde informatie gebruiken	Handmatig, uitgeschakeld	1.1.0
SSL-verbinding afdwingen moet worden ingeschakeld voor MySQL-databaseservers	Azure Database for MySQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for MySQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver.	Controle, uitgeschakeld	1.0.1
SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseservers	Azure Database for PostgreSQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for PostgreSQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver.	Controle, uitgeschakeld	1.0.1
Configuratiestandaarden voor firewall en router instellen	CMA_0272 - Configuratiestandaarden voor firewall en router instellen	Handmatig, uitgeschakeld	1.1.0
Netwerksegmentatie instellen voor kaarthoudergegevensomgeving	CMA_0273 - Netwerksegmentatie instellen voor de gegevensomgeving van de kaarthouder	Handmatig, uitgeschakeld	1.1.0
Functie-apps mogen alleen toegankelijk zijn via HTTPS	Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.	Controleren, uitgeschakeld, weigeren	5.0.0
Functie-apps mogen alleen FTPS vereisen	FTPS-afdwinging inschakelen voor verbeterde beveiliging.	AuditIfNotExists, uitgeschakeld	3.0.0
Functie-apps moeten de nieuwste TLS-versie gebruiken	Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie.	AuditIfNotExists, uitgeschakeld	2.0.1
Downstreaminformatie-uitwisselingen identificeren en beheren	CMA_0298 : downstreaminformatieuitwisseling identificeren en beheren	Handmatig, uitgeschakeld	1.1.0
Besturingselementen implementeren om alle media te beveiligen	CMA_0314 - Besturingselementen implementeren om alle media te beveiligen	Handmatig, uitgeschakeld	1.1.0
Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen	Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc	AuditIfNotExists, uitgeschakeld	3.0.0
Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS	Het gebruik van HTTPS zorgt voor verificatie en beschermt gegevens tijdens overdracht tegen aanvallen op netwerklagen. Deze mogelijkheid is momenteel algemeen beschikbaar voor Kubernetes Service (AKS) en in preview voor Kubernetes met Azure Arc. Ga voor meer informatie naar https://aka.ms/kubepolicydoc	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	9.1.0
Het vervoer van assets beheren	CMA_0370 - Het vervoer van assets beheren	Handmatig, uitgeschakeld	1.1.0
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer	Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center	AuditIfNotExists, uitgeschakeld	3.0.0
Beheerpoorten moeten gesloten zijn op uw virtuele machines	Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen.	AuditIfNotExists, uitgeschakeld	3.0.0
Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen	Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc	AuditIfNotExists, uitgeschakeld	3.0.0
Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeld	Inschakeling van alleen verbindingen via SSL met Azure Cache voor Redis controleren. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking	Controleren, Weigeren, Uitgeschakeld	1.0.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Wachtwoorden beveiligen met versleuteling	CMA_0408 - Wachtwoorden beveiligen met versleuteling	Handmatig, uitgeschakeld	1.1.0
Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld	Controleer de vereiste van beveiligde overdracht in uw opslagaccount. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking	Controleren, Weigeren, Uitgeschakeld	2.0.0
Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep	Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd.	AuditIfNotExists, uitgeschakeld	3.0.0
Windows-computers moeten worden geconfigureerd voor het gebruik van veilige communicatieprotocollen	Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw computers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk door een verbinding tussen machines te versleutelen.	AuditIfNotExists, uitgeschakeld	3.0.1

Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software

Id: SOC 2 Type 2 CC6.8 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
[Afgeschaft]: Voor functie-apps moet 'Clientcertificaten (binnenkomende clientcertificaten)' zijn ingeschakeld	Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients met een geldig certificaat kunnen de app bereiken. Dit beleid is vervangen door een nieuw beleid met dezelfde naam, omdat Http 2.0 geen ondersteuning biedt voor clientcertificaten.	Controle, uitgeschakeld	3.1.0 afgeschaft
Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computers	Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd. Dit helpt uw computers te beschermen tegen schadelijke software. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor.	AuditIfNotExists, uitgeschakeld	3.0.0
De Allowlist-regels in uw beleid voor adaptief toepassingsbeheer moeten worden bijgewerkt	Controleer op wijzigingen in gedrag op groepen machines die zijn geconfigureerd voor controle door de adaptieve toepassingsregelaars van Azure Security Center. Security Center gebruikt machine learning voor het analyseren van de processen die worden uitgevoerd op uw computers en stelt een lijst voor met bekende veilige toepassingen. Deze worden weergegeven als aanbevolen apps om toe te staan in beleidsregels voor adaptieve toepassingsregelaars.	AuditIfNotExists, uitgeschakeld	3.0.0
App Service-apps moeten clientcertificaten (binnenkomende clientcertificaten) hebben ingeschakeld	Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1.	AuditIfNotExists, uitgeschakeld	1.0.0
App Service-apps moeten externe foutopsporing hebben uitgeschakeld	Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld.	AuditIfNotExists, uitgeschakeld	2.0.0
Voor App Service-apps mag CORS niet zijn geconfigureerd, zodat elke resource toegang heeft tot uw apps	CorS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw app. Sta alleen vereiste domeinen toe om te communiceren met uw app.	AuditIfNotExists, uitgeschakeld	2.0.0
App Service-apps moeten de nieuwste HTTP-versie gebruiken	Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie.	AuditIfNotExists, uitgeschakeld	4.0.0
Controleer virtuele machines die niet gebruikmaken van beheerde schijven	Dit beleid controleert virtuele machines die niet gebruikmaken van beheerde schijven	controleren	1.0.0
De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters	De invoegtoepassing voor beheerbeleid van Azure Kubernetes (AKS) voorziet in uitbreiding van Gatekeeper v3, een webhook voor de toegangscontroller voor Open Policy Agent (OPA) waarmee afdwinging en beveiliging op schaal en via gecentraliseerde, consistente manier worden toegepast op uw clusters.	Controle, uitgeschakeld	1.0.2
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	Handmatig, uitgeschakeld	1.1.0
De Endpoint Protection-oplossing moet worden geïnstalleerd op virtuele-machineschaalsets	Controleer op de aanwezigheid en status van een oplossing voor eindpuntbeveiliging op virtuele-machineschaalsets, waarmee de schaalsets worden beschermd tegen bedreigingen en beveiligingsproblemen.	AuditIfNotExists, uitgeschakeld	3.0.0
Functie-apps moeten externe foutopsporing uitschakelen	Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld.	AuditIfNotExists, uitgeschakeld	2.0.0
Voor functie-apps mag CORS niet zijn geconfigureerd om elke resource toegang te geven tot uw apps	Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw Function-app. Sta alleen de vereiste domeinen toe om met uw Function-app te communiceren.	AuditIfNotExists, uitgeschakeld	2.0.0
Functie-apps moeten de nieuwste HTTP-versie gebruiken	Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie.	AuditIfNotExists, uitgeschakeld	4.0.0
De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd	Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Zodra u dit hebt geïnstalleerd, is beleid in de gastconfiguratie beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'. Meer informatie op https://aka.ms/gcpol.	AuditIfNotExists, uitgeschakeld	1.0.2
Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten	Dwing limieten voor cpu- en geheugenresources van containers af om uitputtingsaanvallen van resources in een Kubernetes-cluster te voorkomen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	10.1.0
Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen	Voorkomen dat podcontainers de hostproces-id-naamruimte en host-IPC-naamruimte delen in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.2 en CIS 5.2.3 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	6.1.0
Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen)	Containers mogen alleen toegestane AppArmor-profielen gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	7.1.1
Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden)	Beperk de mogelijkheden om de kwetsbaarheid voor aanvallen van containers in een Kubernetes-cluster te verminderen. Deze aanbeveling maakt deel uit van CIS 5.2.8 en CIS 5.2.9 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	7.1.0
Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken	Gebruik installatiekopieën van vertrouwde registers om het blootstellingsrisico van het Kubernetes-cluster te beperken tot onbekende beveiligingsproblemen, beveiligingsproblemen en schadelijke installatiekopieën. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	10.1.1
Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem)	Voer containers uit met een alleen-lezen hoofdbestandssysteem om te beveiligen tegen wijzigingen tijdens de runtime, waarbij schadelijke binaire bestanden worden toegevoegd aan PATH in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	7.1.0
Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken)	Beperk pod HostPath-volumekoppelingen naar de toegestane hostpaden in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	7.1.1
Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's)	Beheer de gebruikers-, primaire groep-, aanvullende groep- en bestandssysteemgroep-id's die pods en containers kunnen gebruiken om te worden uitgevoerd in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	7.1.1
Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken)	Beperk de podtoegang tot het hostnetwerk en het toegestane hostpoortbereik in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.4 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	7.1.0
Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten	Beperk services om alleen te luisteren op toegestane poorten om de toegang tot het Kubernetes-cluster te beveiligen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	9.1.0
Kubernetes-cluster mag geen bevoegde containers toestaan	Sta het maken van bevoegde containers in een Kubernetes-cluster niet toe. Deze aanbeveling maakt deel uit van CIS 5.2.1 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	10.1.0
Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen	Schakel het automatisch koppelen van API-referenties uit om te voorkomen dat een mogelijk gemanipuleerde Pod-resource API-opdrachten uitvoert met Kubernetes-clusters. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	5.1.0
Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan)	Sta niet toe dat containers worden uitgevoerd met escalatie van bevoegdheden naar de hoofdmap in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.5 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	8.1.0
Kubernetes-clusters mogen geen CAP_SYS_ADMIN beveiligingsmogelijkheden verlenen	Beperk CAP_SYS_ADMIN Linux-mogelijkheden om de kwetsbaarheid voor aanvallen van uw containers te verminderen. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	6.1.0
Kubernetes-clusters mogen de standaard naamruimte niet gebruiken	Maak geen gebruik van de standaard naamruimte in Kubernetes-clusters om te beveiligen tegen onbevoegde toegang voor ConfigMap-, Pod-, Secret-, Service- en ServiceAccount-resourcetypen. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	5.1.0
Linux-machines moeten voldoen aan de vereisten voor de Azure Compute-beveiligingsbasislijn	Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn.	AuditIfNotExists, uitgeschakeld	1.5.0
Gateways beheren	CMA_0363 - Gateways beheren	Handmatig, uitgeschakeld	1.1.0
Ontbrekende eindpuntbeveiliging bewaken in Azure Security Center	Servers zonder geïnstalleerde agent voor eindpuntbeveiliging worden als aanbevelingen bewaakt door Azure Security Center	AuditIfNotExists, uitgeschakeld	3.1.0
Alleen goedgekeurde VM-extensies mogen worden geïnstalleerd	Dit beleid is van toepassing op extensies van virtuele machines die niet zijn goedgekeurd.	Controleren, Weigeren, Uitgeschakeld	1.0.0
Een trendanalyse uitvoeren op bedreigingen	CMA_0389 - Een trendanalyse uitvoeren op bedreigingen	Handmatig, uitgeschakeld	1.1.0
Beveiligingsscans uitvoeren	CMA_0393 - Beveiligingsscans uitvoeren	Handmatig, uitgeschakeld	1.1.0
Rapport malwaredetecties wekelijks bekijken	CMA_0475 - Rapport malwaredetecties wekelijks bekijken	Handmatig, uitgeschakeld	1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken	CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren	Handmatig, uitgeschakeld	1.1.0
Opslagaccounts moeten toegang uit vertrouwde Microsoft-services toestaan	Sommige Microsoft-services die communiceren met opslagaccounts, werken vanuit netwerken waaraan geen toegang kan worden verleend via netwerkregels. Om dit type service goed te laten werken, moet u de set vertrouwde Microsoft-services toestaan om de netwerkregels over te slaan. Deze services gebruiken vervolgens sterke verificatie om toegang te krijgen tot het opslagaccount.	Controleren, Weigeren, Uitgeschakeld	1.0.0
Antivirusdefinities bijwerken	CMA_0517 - Antivirusdefinities bijwerken	Handmatig, uitgeschakeld	1.1.0
Integriteit van software, firmware en informatie controleren	CMA_0542 - Integriteit van software, firmware en informatie controleren	Handmatig, uitgeschakeld	1.1.0
Diagnostische gegevens van het systeem weergeven en configureren	CMA_0544 - Diagnostische gegevens van het systeem weergeven en configureren	Handmatig, uitgeschakeld	1.1.0
De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit	De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol	AuditIfNotExists, uitgeschakeld	1.0.1
Windows-machines moeten voldoen aan de vereisten van de Azure Compute-beveiligingsbasislijn	Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn.	AuditIfNotExists, uitgeschakeld	1.0.0

Systeembewerkingen

Detectie en bewaking van nieuwe beveiligingsproblemen

Id: SOC 2 Type 2 CC7.1 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computers	Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd. Dit helpt uw computers te beschermen tegen schadelijke software. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor.	AuditIfNotExists, uitgeschakeld	3.0.0
De Allowlist-regels in uw beleid voor adaptief toepassingsbeheer moeten worden bijgewerkt	Controleer op wijzigingen in gedrag op groepen machines die zijn geconfigureerd voor controle door de adaptieve toepassingsregelaars van Azure Security Center. Security Center gebruikt machine learning voor het analyseren van de processen die worden uitgevoerd op uw computers en stelt een lijst voor met bekende veilige toepassingen. Deze worden weergegeven als aanbevolen apps om toe te staan in beleidsregels voor adaptieve toepassingsregelaars.	AuditIfNotExists, uitgeschakeld	3.0.0
Acties configureren voor niet-compatibele apparaten	CMA_0062 - Acties configureren voor niet-compatibele apparaten	Handmatig, uitgeschakeld	1.1.0
Basislijnconfiguraties ontwikkelen en onderhouden	CMA_0153 : basislijnconfiguraties ontwikkelen en onderhouden	Handmatig, uitgeschakeld	1.1.0
Detectie van netwerkapparaten inschakelen	CMA_0220 - Detectie van netwerkapparaten inschakelen	Handmatig, uitgeschakeld	1.1.0
Beveiligingsconfiguratie-instellingen afdwingen	CMA_0249 - Beveiligingsconfiguratie-instellingen afdwingen	Handmatig, uitgeschakeld	1.1.0
Een configuratiebeheerbord instellen	CMA_0254 - Een configuratiebeheerbord instellen	Handmatig, uitgeschakeld	1.1.0
Een configuratiebeheerplan instellen en documenteer	CMA_0264 - Een configuratiebeheerplan maken en documenteer	Handmatig, uitgeschakeld	1.1.0
Een geautomatiseerd hulpprogramma voor configuratiebeheer implementeren	CMA_0311 - Een geautomatiseerd hulpprogramma voor configuratiebeheer implementeren	Handmatig, uitgeschakeld	1.1.0
Beveiligingsscans uitvoeren	CMA_0393 - Beveiligingsscans uitvoeren	Handmatig, uitgeschakeld	1.1.0
Fouten in het informatiesysteem oplossen	CMA_0427 - Fouten in het informatiesysteem herstellen	Handmatig, uitgeschakeld	1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	Handmatig, uitgeschakeld	1.1.0
Integriteit van software, firmware en informatie controleren	CMA_0542 - Integriteit van software, firmware en informatie controleren	Handmatig, uitgeschakeld	1.1.0
Diagnostische gegevens van het systeem weergeven en configureren	CMA_0544 - Diagnostische gegevens van het systeem weergeven en configureren	Handmatig, uitgeschakeld	1.1.0
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor SQL Managed Instance	Controleer elke SQL Managed Instance waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen.	AuditIfNotExists, uitgeschakeld	1.0.1
De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers	Controleer Azure SQL-servers waarvoor de evaluatie van beveiligingsproblemen niet juist is geconfigureerd. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen.	AuditIfNotExists, uitgeschakeld	3.0.0

Systeemonderdelen controleren op afwijkend gedrag

Id: SOC 2 Type 2 CC7.2 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
[Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd	Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists, uitgeschakeld	4.0.1-preview
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingen	Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.	AuditIfNotExists, uitgeschakeld	1.0.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beleidsbewerkingen	Met dit beleid worden specifieke beleidsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.	AuditIfNotExists, uitgeschakeld	3.0.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beveiligingsbewerkingen	Met dit beleid worden specifieke beveiligingsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.	AuditIfNotExists, uitgeschakeld	1.0.0
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld	Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens.	AuditIfNotExists, uitgeschakeld	1.0.2
Azure Defender voor Resource Manager moet zijn ingeschakeld	Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center .	AuditIfNotExists, uitgeschakeld	1.0.0
Azure Defender voor servers moet zijn ingeschakeld	Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd.	AuditIfNotExists, uitgeschakeld	1.0.3
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers	SQL-servers zonder Advanced Data Security controleren	AuditIfNotExists, uitgeschakeld	2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances	Controleer elke SQL Managed Instance zonder Advanced Data Security.	AuditIfNotExists, uitgeschakeld	1.0.2
Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd	CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd	Handmatig, uitgeschakeld	1.1.0
Controleverwerkingsactiviteiten beheren en bewaken	CMA_0289 - Verwerkingsactiviteiten voor controles beheren en bewaken	Handmatig, uitgeschakeld	1.1.0
Microsoft Defender voor containers moet zijn ingeschakeld	Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen.	AuditIfNotExists, uitgeschakeld	1.0.0
Microsoft Defender voor Storage (klassiek) moet zijn ingeschakeld	Microsoft Defender voor Storage (klassiek) biedt detecties van ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts.	AuditIfNotExists, uitgeschakeld	1.0.4
Een trendanalyse uitvoeren op bedreigingen	CMA_0389 - Een trendanalyse uitvoeren op bedreigingen	Handmatig, uitgeschakeld	1.1.0
Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers	Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows).	AuditIfNotExists, uitgeschakeld	1.1.1

Detectie van beveiligingsincidenten

Id: SOC 2 Type 2 CC7.3 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Beleid en procedures voor incidentrespons controleren en bijwerken	CMA_C1352 - Beleid en procedures voor het reageren op incidenten controleren en bijwerken	Handmatig, uitgeschakeld	1.1.0

Reactie op beveiligingsincidenten

Id: SOC 2 Type 2 CC7.4 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Informatiebeveiligingsevenementen evalueren	CMA_0013 - Gegevensbeveiligingsgebeurtenissen evalueren	Handmatig, uitgeschakeld	1.1.0
Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen	CMA_0086 - Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen	Handmatig, uitgeschakeld	1.1.0
Een plan voor het reageren op incidenten ontwikkelen	CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Beveiligingsbeveiliging ontwikkelen	CMA_0161 - Beveiligingsmaatregelen ontwikkelen	Handmatig, uitgeschakeld	1.1.0
E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld	Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center.	AuditIfNotExists, uitgeschakeld	1.0.1
E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld	Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center.	AuditIfNotExists, uitgeschakeld	2.0.0
Netwerkbeveiliging inschakelen	CMA_0238 - Netwerkbeveiliging inschakelen	Handmatig, uitgeschakeld	1.1.0
Verontreinigde informatie uitroeien	CMA_0253 - Verontreinigde informatie uitroeien	Handmatig, uitgeschakeld	1.1.0
Acties uitvoeren als reactie op overloop van gegevens	CMA_0281 - Acties uitvoeren als reactie op gegevenslekken	Handmatig, uitgeschakeld	1.1.0
Klassen incidenten en acties identificeren die zijn uitgevoerd	CMA_C1365 - Klassen incidenten en acties identificeren die zijn uitgevoerd	Handmatig, uitgeschakeld	1.1.0
Incidentafhandeling implementeren	CMA_0318 - Incidentafhandeling implementeren	Handmatig, uitgeschakeld	1.1.0
Dynamische herconfiguratie van door de klant geïmplementeerde resources opnemen	CMA_C1364 - Dynamische herconfiguratie van door de klant geïmplementeerde resources opnemen	Handmatig, uitgeschakeld	1.1.0
Plan voor reactie op incidenten onderhouden	CMA_0352 - Plan voor reactie op incidenten onderhouden	Handmatig, uitgeschakeld	1.1.0
Network Watcher moet zijn ingeschakeld	Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio.	AuditIfNotExists, uitgeschakeld	3.0.0
Een trendanalyse uitvoeren op bedreigingen	CMA_0389 - Een trendanalyse uitvoeren op bedreigingen	Handmatig, uitgeschakeld	1.1.0
Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten	Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt.	AuditIfNotExists, uitgeschakeld	1.0.1
Beperkte gebruikers weergeven en onderzoeken	CMA_0545 - Beperkte gebruikers weergeven en onderzoeken	Handmatig, uitgeschakeld	1.1.0

Herstel van geïdentificeerde beveiligingsincidenten

Id: SOC 2 Type 2 CC7.5 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Informatiebeveiligingsevenementen evalueren	CMA_0013 - Gegevensbeveiligingsgebeurtenissen evalueren	Handmatig, uitgeschakeld	1.1.0
Incidentresponstests uitvoeren	CMA_0060 : het testen van incidentreacties uitvoeren	Handmatig, uitgeschakeld	1.1.0
Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen	CMA_0086 - Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen	Handmatig, uitgeschakeld	1.1.0
Coördineren met externe organisaties om het perspectief van meerdere organisaties te bereiken	CMA_C1368 - Coördineren met externe organisaties om het perspectief van meerdere organisaties te bereiken	Handmatig, uitgeschakeld	1.1.0
Een plan voor het reageren op incidenten ontwikkelen	CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Beveiligingsbeveiliging ontwikkelen	CMA_0161 - Beveiligingsmaatregelen ontwikkelen	Handmatig, uitgeschakeld	1.1.0
E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld	Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center.	AuditIfNotExists, uitgeschakeld	1.0.1
E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld	Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center.	AuditIfNotExists, uitgeschakeld	2.0.0
Netwerkbeveiliging inschakelen	CMA_0238 - Netwerkbeveiliging inschakelen	Handmatig, uitgeschakeld	1.1.0
Verontreinigde informatie uitroeien	CMA_0253 - Verontreinigde informatie uitroeien	Handmatig, uitgeschakeld	1.1.0
Een informatiebeveiligingsprogramma opzetten	CMA_0263 - Een informatiebeveiligingsprogramma instellen	Handmatig, uitgeschakeld	1.1.0
Acties uitvoeren als reactie op overloop van gegevens	CMA_0281 - Acties uitvoeren als reactie op gegevenslekken	Handmatig, uitgeschakeld	1.1.0
Incidentafhandeling implementeren	CMA_0318 - Incidentafhandeling implementeren	Handmatig, uitgeschakeld	1.1.0
Plan voor reactie op incidenten onderhouden	CMA_0352 - Plan voor reactie op incidenten onderhouden	Handmatig, uitgeschakeld	1.1.0
Network Watcher moet zijn ingeschakeld	Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio.	AuditIfNotExists, uitgeschakeld	3.0.0
Een trendanalyse uitvoeren op bedreigingen	CMA_0389 - Een trendanalyse uitvoeren op bedreigingen	Handmatig, uitgeschakeld	1.1.0
Simulatieaanvallen uitvoeren	CMA_0486 - Simulatieaanvallen uitvoeren	Handmatig, uitgeschakeld	1.1.0
Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten	Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt.	AuditIfNotExists, uitgeschakeld	1.0.1
Beperkte gebruikers weergeven en onderzoeken	CMA_0545 - Beperkte gebruikers weergeven en onderzoeken	Handmatig, uitgeschakeld	1.1.0

Wijzigingsbeheer

Wijzigingen in infrastructuur, gegevens en software

Id: SOC 2 Type 2 CC8.1 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
[Afgeschaft]: Voor functie-apps moet 'Clientcertificaten (binnenkomende clientcertificaten)' zijn ingeschakeld	Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients met een geldig certificaat kunnen de app bereiken. Dit beleid is vervangen door een nieuw beleid met dezelfde naam, omdat Http 2.0 geen ondersteuning biedt voor clientcertificaten.	Controle, uitgeschakeld	3.1.0 afgeschaft
App Service-apps moeten clientcertificaten (binnenkomende clientcertificaten) hebben ingeschakeld	Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1.	AuditIfNotExists, uitgeschakeld	1.0.0
App Service-apps moeten externe foutopsporing hebben uitgeschakeld	Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld.	AuditIfNotExists, uitgeschakeld	2.0.0
Voor App Service-apps mag CORS niet zijn geconfigureerd, zodat elke resource toegang heeft tot uw apps	CorS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw app. Sta alleen vereiste domeinen toe om te communiceren met uw app.	AuditIfNotExists, uitgeschakeld	2.0.0
App Service-apps moeten de nieuwste HTTP-versie gebruiken	Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie.	AuditIfNotExists, uitgeschakeld	4.0.0
Controleer virtuele machines die niet gebruikmaken van beheerde schijven	Dit beleid controleert virtuele machines die niet gebruikmaken van beheerde schijven	controleren	1.0.0
De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters	De invoegtoepassing voor beheerbeleid van Azure Kubernetes (AKS) voorziet in uitbreiding van Gatekeeper v3, een webhook voor de toegangscontroller voor Open Policy Agent (OPA) waarmee afdwinging en beveiliging op schaal en via gecentraliseerde, consistente manier worden toegepast op uw clusters.	Controle, uitgeschakeld	1.0.2
Een beveiligingsimpactanalyse uitvoeren	CMA_0057 - Een beveiligingsimpactanalyse uitvoeren	Handmatig, uitgeschakeld	1.1.0
Acties configureren voor niet-compatibele apparaten	CMA_0062 - Acties configureren voor niet-compatibele apparaten	Handmatig, uitgeschakeld	1.1.0
Een standaard voor beveiligingsbeheer ontwikkelen en onderhouden	CMA_0152 - Een standaard voor beveiligingsbeheer ontwikkelen en onderhouden	Handmatig, uitgeschakeld	1.1.0
Basislijnconfiguraties ontwikkelen en onderhouden	CMA_0153 : basislijnconfiguraties ontwikkelen en onderhouden	Handmatig, uitgeschakeld	1.1.0
Beveiligingsconfiguratie-instellingen afdwingen	CMA_0249 - Beveiligingsconfiguratie-instellingen afdwingen	Handmatig, uitgeschakeld	1.1.0
Een configuratiebeheerbord instellen	CMA_0254 - Een configuratiebeheerbord instellen	Handmatig, uitgeschakeld	1.1.0
Een strategie voor risicobeheer vaststellen	CMA_0258 - Een strategie voor risicobeheer instellen	Handmatig, uitgeschakeld	1.1.0
Een configuratiebeheerplan instellen en documenteer	CMA_0264 - Een configuratiebeheerplan maken en documenteer	Handmatig, uitgeschakeld	1.1.0
Processen voor het instellen en wijzigen van documenten	CMA_0265 - Processen voor het instellen en wijzigen van documenten	Handmatig, uitgeschakeld	1.1.0
Configuratiebeheervereisten instellen voor ontwikkelaars	CMA_0270 : configuratiebeheervereisten voor ontwikkelaars instellen	Handmatig, uitgeschakeld	1.1.0
Functie-apps moeten externe foutopsporing uitschakelen	Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld.	AuditIfNotExists, uitgeschakeld	2.0.0
Voor functie-apps mag CORS niet zijn geconfigureerd om elke resource toegang te geven tot uw apps	Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw Function-app. Sta alleen de vereiste domeinen toe om met uw Function-app te communiceren.	AuditIfNotExists, uitgeschakeld	2.0.0
Functie-apps moeten de nieuwste HTTP-versie gebruiken	Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie.	AuditIfNotExists, uitgeschakeld	4.0.0
De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd	Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Zodra u dit hebt geïnstalleerd, is beleid in de gastconfiguratie beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'. Meer informatie op https://aka.ms/gcpol.	AuditIfNotExists, uitgeschakeld	1.0.2
Een geautomatiseerd hulpprogramma voor configuratiebeheer implementeren	CMA_0311 - Een geautomatiseerd hulpprogramma voor configuratiebeheer implementeren	Handmatig, uitgeschakeld	1.1.0
Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten	Dwing limieten voor cpu- en geheugenresources van containers af om uitputtingsaanvallen van resources in een Kubernetes-cluster te voorkomen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	10.1.0
Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen	Voorkomen dat podcontainers de hostproces-id-naamruimte en host-IPC-naamruimte delen in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.2 en CIS 5.2.3 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	6.1.0
Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen)	Containers mogen alleen toegestane AppArmor-profielen gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	7.1.1
Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden)	Beperk de mogelijkheden om de kwetsbaarheid voor aanvallen van containers in een Kubernetes-cluster te verminderen. Deze aanbeveling maakt deel uit van CIS 5.2.8 en CIS 5.2.9 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	7.1.0
Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken	Gebruik installatiekopieën van vertrouwde registers om het blootstellingsrisico van het Kubernetes-cluster te beperken tot onbekende beveiligingsproblemen, beveiligingsproblemen en schadelijke installatiekopieën. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	10.1.1
Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem)	Voer containers uit met een alleen-lezen hoofdbestandssysteem om te beveiligen tegen wijzigingen tijdens de runtime, waarbij schadelijke binaire bestanden worden toegevoegd aan PATH in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	7.1.0
Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken)	Beperk pod HostPath-volumekoppelingen naar de toegestane hostpaden in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	7.1.1
Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's)	Beheer de gebruikers-, primaire groep-, aanvullende groep- en bestandssysteemgroep-id's die pods en containers kunnen gebruiken om te worden uitgevoerd in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	7.1.1
Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken)	Beperk de podtoegang tot het hostnetwerk en het toegestane hostpoortbereik in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.4 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	7.1.0
Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten	Beperk services om alleen te luisteren op toegestane poorten om de toegang tot het Kubernetes-cluster te beveiligen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	9.1.0
Kubernetes-cluster mag geen bevoegde containers toestaan	Sta het maken van bevoegde containers in een Kubernetes-cluster niet toe. Deze aanbeveling maakt deel uit van CIS 5.2.1 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	10.1.0
Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen	Schakel het automatisch koppelen van API-referenties uit om te voorkomen dat een mogelijk gemanipuleerde Pod-resource API-opdrachten uitvoert met Kubernetes-clusters. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	5.1.0
Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan)	Sta niet toe dat containers worden uitgevoerd met escalatie van bevoegdheden naar de hoofdmap in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.5 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	8.1.0
Kubernetes-clusters mogen geen CAP_SYS_ADMIN beveiligingsmogelijkheden verlenen	Beperk CAP_SYS_ADMIN Linux-mogelijkheden om de kwetsbaarheid voor aanvallen van uw containers te verminderen. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	6.1.0
Kubernetes-clusters mogen de standaard naamruimte niet gebruiken	Maak geen gebruik van de standaard naamruimte in Kubernetes-clusters om te beveiligen tegen onbevoegde toegang voor ConfigMap-, Pod-, Secret-, Service- en ServiceAccount-resourcetypen. Zie https://aka.ms/kubepolicydoc voor meer informatie.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	5.1.0
Linux-machines moeten voldoen aan de vereisten voor de Azure Compute-beveiligingsbasislijn	Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn.	AuditIfNotExists, uitgeschakeld	1.5.0
Alleen goedgekeurde VM-extensies mogen worden geïnstalleerd	Dit beleid is van toepassing op extensies van virtuele machines die niet zijn goedgekeurd.	Controleren, Weigeren, Uitgeschakeld	1.0.0
Een privacyimpactbeoordeling uitvoeren	CMA_0387 - Een privacyimpactbeoordeling uitvoeren	Handmatig, uitgeschakeld	1.1.0
Een risicoanalyse uitvoeren	CMA_0388 - Een risicoanalyse uitvoeren	Handmatig, uitgeschakeld	1.1.0
Controle uitvoeren voor configuratiewijzigingsbeheer	CMA_0390 - Controle uitvoeren voor configuratiewijzigingsbeheer	Handmatig, uitgeschakeld	1.1.0
Opslagaccounts moeten toegang uit vertrouwde Microsoft-services toestaan	Sommige Microsoft-services die communiceren met opslagaccounts, werken vanuit netwerken waaraan geen toegang kan worden verleend via netwerkregels. Om dit type service goed te laten werken, moet u de set vertrouwde Microsoft-services toestaan om de netwerkregels over te slaan. Deze services gebruiken vervolgens sterke verificatie om toegang te krijgen tot het opslagaccount.	Controleren, Weigeren, Uitgeschakeld	1.0.0
De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit	De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol	AuditIfNotExists, uitgeschakeld	1.0.1
Windows-machines moeten voldoen aan de vereisten van de Azure Compute-beveiligingsbasislijn	Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn.	AuditIfNotExists, uitgeschakeld	1.0.0

Risicobeperking

Risicobeperkingsactiviteiten

Id: SOC 2 Type 2 CC9.1 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Vereisten voor gegevensbeveiliging bepalen	CMA_C1750 - Bepaal de behoeften voor gegevensbeveiliging	Handmatig, uitgeschakeld	1.1.0
Een strategie voor risicobeheer vaststellen	CMA_0258 - Een strategie voor risicobeheer instellen	Handmatig, uitgeschakeld	1.1.0
Een risicoanalyse uitvoeren	CMA_0388 - Een risicoanalyse uitvoeren	Handmatig, uitgeschakeld	1.1.0

Risicobeheer van leveranciers en zakenpartners

Id: SOC 2 Type 2 CC9.2 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Risico's beoordelen in relaties van derden	CMA_0014 - Risico's beoordelen in relaties van derden	Handmatig, uitgeschakeld	1.1.0
Vereisten definiëren voor het leveren van goederen en diensten	CMA_0126 - Vereisten voor het leveren van goederen en diensten definiëren	Handmatig, uitgeschakeld	1.1.0
De taken van processors definiëren	CMA_0127 - De taken van processors definiëren	Handmatig, uitgeschakeld	1.1.0
Contractverplichtingen van leveranciers bepalen	CMA_0140 - Contractverplichtingen van leveranciers bepalen	Handmatig, uitgeschakeld	1.1.0
Acceptatiecriteria voor overnamecontract documenteren	CMA_0187 - Acceptatiecriteria voor documentaankoopcontract	Handmatig, uitgeschakeld	1.1.0
Documentbescherming van persoonsgegevens in overnamecontracten	CMA_0194 - Documentbescherming van persoonsgegevens in overnamecontracten	Handmatig, uitgeschakeld	1.1.0
Documentbescherming van beveiligingsgegevens in overnamecontracten	CMA_0195 - Documentbescherming van beveiligingsgegevens in overnamecontracten	Handmatig, uitgeschakeld	1.1.0
Documentvereisten voor het gebruik van gedeelde gegevens in contracten	CMA_0197 - Documentvereisten voor het gebruik van gedeelde gegevens in contracten	Handmatig, uitgeschakeld	1.1.0
Vereisten voor beveiligingscontrole in overnamecontracten documenteer	CMA_0199 - Vereisten voor beveiligingscontrole vastleggen in overnamecontracten	Handmatig, uitgeschakeld	1.1.0
Documentbeveiligingsdocumentatievereisten in overnamecontract	CMA_0200 - Documentbeveiligingsdocumentatievereisten in overnamecontract	Handmatig, uitgeschakeld	1.1.0
Functionele vereisten voor beveiliging documentleren in overnamecontracten	CMA_0201 - Functionele vereisten voor beveiliging document in overnamecontracten	Handmatig, uitgeschakeld	1.1.0
Vereisten voor beveiligingssterkte documenteer in overnamecontracten	CMA_0203 - Vereisten voor beveiligingssterkte documenteer in overnamecontracten	Handmatig, uitgeschakeld	1.1.0
Documenteer de informatiesysteemomgeving in overnamecontracten	CMA_0205 - Documenteer de informatiesysteemomgeving in overnamecontracten	Handmatig, uitgeschakeld	1.1.0
Documenteer de bescherming van gegevens van de kaarthouder in contracten van derden	CMA_0207 - Documenteer de bescherming van gegevens van de kaarthouder in contracten van derden	Handmatig, uitgeschakeld	1.1.0
Beleid opstellen voor toeleveringsketenrisicobeheer	CMA_0275 - Beleid voor toeleveringsketenrisicobeheer instellen	Handmatig, uitgeschakeld	1.1.0
Beveiligingsvereisten voor personeel van derden vaststellen	CMA_C1529 - Beveiligingsvereisten voor personeel van derden vaststellen	Handmatig, uitgeschakeld	1.1.0
Naleving van externe providers bewaken	CMA_C1533 - Naleving van externe providers controleren	Handmatig, uitgeschakeld	1.1.0
Openbaarmakingen van PII aan derden vastleggen	CMA_0422 - Openbaarmakingen van PII aan derden vastleggen	Handmatig, uitgeschakeld	1.1.0
Vereisen dat externe providers voldoen aan beveiligingsbeleid en procedures voor personeel	CMA_C1530 - Vereisen dat externe providers voldoen aan het beveiligingsbeleid en de procedures voor personeelsbeveiliging	Handmatig, uitgeschakeld	1.1.0
Train personeel op piI delen en de gevolgen ervan	CMA_C1871 - Train staff on PII sharing and its impact	Handmatig, uitgeschakeld	1.1.0

Aanvullende criteria voor privacy

Privacyverklaring

Id: SOC 2 Type 2 P1.1 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Een privacybeleid documenteert en distribueert	CMA_0188 - Een privacybeleid documenteert en distribueert	Handmatig, uitgeschakeld	1.1.0
Controleren of informatie over het privacyprogramma openbaar beschikbaar is	CMA_C1867 - Zorg ervoor dat informatie over het privacyprogramma openbaar beschikbaar is	Handmatig, uitgeschakeld	1.1.0
Leveringsmethoden voor privacyverklaring implementeren	CMA_0324 - Leveringsmethoden voor privacyverklaring implementeren	Handmatig, uitgeschakeld	1.1.0
Privacyverklaring opgeven	CMA_0414 - Privacyverklaring opgeven	Handmatig, uitgeschakeld	1.1.0
Privacyverklaring verstrekken aan het publiek en aan personen	CMA_C1861 - Privacyverklaring verstrekken aan het publiek en aan personen	Handmatig, uitgeschakeld	1.1.0

Privacytoestemming

Id: SOC 2 Type 2 P2.1 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Documenteer personeelsacceptatie van privacyvereisten	CMA_0193 - Documenteer personeelsacceptatie van privacyvereisten	Handmatig, uitgeschakeld	1.1.0
Leveringsmethoden voor privacyverklaring implementeren	CMA_0324 - Leveringsmethoden voor privacyverklaring implementeren	Handmatig, uitgeschakeld	1.1.0
Toestemming verkrijgen voordat persoonsgegevens worden verzameld of verwerkt	CMA_0385 - Toestemming verkrijgen voordat persoonsgegevens worden verzameld of verwerkt	Handmatig, uitgeschakeld	1.1.0
Privacyverklaring opgeven	CMA_0414 - Privacyverklaring opgeven	Handmatig, uitgeschakeld	1.1.0

Consistente verzameling van persoonlijke gegevens

Id: SOC 2 Type 2 P3.1 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Juridische autoriteit bepalen voor het verzamelen van PII	CMA_C1800 - Juridische autoriteit bepalen om PII te verzamelen	Handmatig, uitgeschakeld	1.1.0
Documentproces om de integriteit van PII te waarborgen	CMA_C1827 - Documentproces om de integriteit van PII te waarborgen	Handmatig, uitgeschakeld	1.1.0
PII-bedrijven regelmatig evalueren en beoordelen	CMA_C1832 - PII-bedrijven regelmatig evalueren en beoordelen	Handmatig, uitgeschakeld	1.1.0
Toestemming verkrijgen voordat persoonsgegevens worden verzameld of verwerkt	CMA_0385 - Toestemming verkrijgen voordat persoonsgegevens worden verzameld of verwerkt	Handmatig, uitgeschakeld	1.1.0

Expliciete toestemming voor persoonlijke gegevens

Id: SOC 2 Type 2 P3.2 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
PII rechtstreeks van de persoon verzamelen	CMA_C1822 - PiI rechtstreeks van de persoon verzamelen	Handmatig, uitgeschakeld	1.1.0
Toestemming verkrijgen voordat persoonsgegevens worden verzameld of verwerkt	CMA_0385 - Toestemming verkrijgen voordat persoonsgegevens worden verzameld of verwerkt	Handmatig, uitgeschakeld	1.1.0

Gebruik van persoonlijke gegevens

Id: SOC 2 Type 2 P4.1 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Documenteer de rechtsgrondslag voor het verwerken van persoonlijke gegevens	CMA_0206 - Documenteer de rechtsgrondslag voor het verwerken van persoonlijke gegevens	Handmatig, uitgeschakeld	1.1.0
Leveringsmethoden voor privacyverklaring implementeren	CMA_0324 - Leveringsmethoden voor privacyverklaring implementeren	Handmatig, uitgeschakeld	1.1.0
Toestemming verkrijgen voordat persoonsgegevens worden verzameld of verwerkt	CMA_0385 - Toestemming verkrijgen voordat persoonsgegevens worden verzameld of verwerkt	Handmatig, uitgeschakeld	1.1.0
Privacyverklaring opgeven	CMA_0414 - Privacyverklaring opgeven	Handmatig, uitgeschakeld	1.1.0
Communicatie beperken	CMA_0449 - Communicatie beperken	Handmatig, uitgeschakeld	1.1.0

Retentie van persoonlijke gegevens

Id: SOC 2 Type 2 P4.2 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Voldoen aan de retentieperioden die zijn gedefinieerd	CMA_0004 - Voldoen aan de gedefinieerde bewaarperioden	Handmatig, uitgeschakeld	1.1.0
Documentproces om de integriteit van PII te waarborgen	CMA_C1827 - Documentproces om de integriteit van PII te waarborgen	Handmatig, uitgeschakeld	1.1.0

Verwijdering van persoonlijke gegevens

Id: SOC 2 Type 2 P4.3 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Verwijderingsbeoordeling uitvoeren	CMA_0391 - Verwijderingsbeoordeling uitvoeren	Handmatig, uitgeschakeld	1.1.0
Controleren of persoonsgegevens worden verwijderd aan het einde van de verwerking	CMA_0540 - Controleren of persoonsgegevens worden verwijderd aan het einde van de verwerking	Handmatig, uitgeschakeld	1.1.0

Toegang tot persoonlijke gegevens

Id: SOC 2 Type 2 P5.1 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Methoden implementeren voor consumentenaanvragen	CMA_0319 - Methoden implementeren voor consumentenaanvragen	Handmatig, uitgeschakeld	1.1.0
Regels en regelgeving publiceren die toegang hebben tot privacywetrecords	CMA_C1847 - Regels en regelgeving publiceren die toegang hebben tot privacywetrecords	Handmatig, uitgeschakeld	1.1.0

Correctie van persoonlijke gegevens

Id: SOC 2 Type 2 P5.2 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Reageren op aanvragen voor correctie	CMA_0442 - Reageren op verzoeken van betrokkenen	Handmatig, uitgeschakeld	1.1.0

Openbaarmaking van persoonlijke gegevens van derden

Id: SOC 2 Type 2 P6.1 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
De taken van processors definiëren	CMA_0127 - De taken van processors definiëren	Handmatig, uitgeschakeld	1.1.0
Contractverplichtingen van leveranciers bepalen	CMA_0140 - Contractverplichtingen van leveranciers bepalen	Handmatig, uitgeschakeld	1.1.0
Acceptatiecriteria voor overnamecontract documenteren	CMA_0187 - Acceptatiecriteria voor documentaankoopcontract	Handmatig, uitgeschakeld	1.1.0
Documentbescherming van persoonsgegevens in overnamecontracten	CMA_0194 - Documentbescherming van persoonsgegevens in overnamecontracten	Handmatig, uitgeschakeld	1.1.0
Documentbescherming van beveiligingsgegevens in overnamecontracten	CMA_0195 - Documentbescherming van beveiligingsgegevens in overnamecontracten	Handmatig, uitgeschakeld	1.1.0
Documentvereisten voor het gebruik van gedeelde gegevens in contracten	CMA_0197 - Documentvereisten voor het gebruik van gedeelde gegevens in contracten	Handmatig, uitgeschakeld	1.1.0
Vereisten voor beveiligingscontrole in overnamecontracten documenteer	CMA_0199 - Vereisten voor beveiligingscontrole vastleggen in overnamecontracten	Handmatig, uitgeschakeld	1.1.0
Documentbeveiligingsdocumentatievereisten in overnamecontract	CMA_0200 - Documentbeveiligingsdocumentatievereisten in overnamecontract	Handmatig, uitgeschakeld	1.1.0
Functionele vereisten voor beveiliging documentleren in overnamecontracten	CMA_0201 - Functionele vereisten voor beveiliging document in overnamecontracten	Handmatig, uitgeschakeld	1.1.0
Vereisten voor beveiligingssterkte documenteer in overnamecontracten	CMA_0203 - Vereisten voor beveiligingssterkte documenteer in overnamecontracten	Handmatig, uitgeschakeld	1.1.0
Documenteer de informatiesysteemomgeving in overnamecontracten	CMA_0205 - Documenteer de informatiesysteemomgeving in overnamecontracten	Handmatig, uitgeschakeld	1.1.0
Documenteer de bescherming van gegevens van de kaarthouder in contracten van derden	CMA_0207 - Documenteer de bescherming van gegevens van de kaarthouder in contracten van derden	Handmatig, uitgeschakeld	1.1.0
Privacyvereisten instellen voor aannemers en serviceproviders	CMA_C1810 - Privacyvereisten voor aannemers en serviceproviders vaststellen	Handmatig, uitgeschakeld	1.1.0
Openbaarmakingen van PII aan derden vastleggen	CMA_0422 - Openbaarmakingen van PII aan derden vastleggen	Handmatig, uitgeschakeld	1.1.0
Train personeel op piI delen en de gevolgen ervan	CMA_C1871 - Train staff on PII sharing and its impact	Handmatig, uitgeschakeld	1.1.0

Geautoriseerde openbaarmaking van persoonlijke gegevensrecord

Id: SOC 2 Type 2 P6.2 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Houd nauwkeurige boekhouding van openbaarmakingen van informatie	CMA_C1818 - Houd nauwkeurige boekhouding van openbaarmakingen van informatie	Handmatig, uitgeschakeld	1.1.0

Onbevoegde openbaarmaking van persoonlijke gegevensrecord

Id: SOC 2 Type 2 P6.3 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Houd nauwkeurige boekhouding van openbaarmakingen van informatie	CMA_C1818 - Houd nauwkeurige boekhouding van openbaarmakingen van informatie	Handmatig, uitgeschakeld	1.1.0

Overeenkomsten van derden

Id: SOC 2 Type 2 P6.4 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
De taken van processors definiëren	CMA_0127 - De taken van processors definiëren	Handmatig, uitgeschakeld	1.1.0

Melding van onbevoegde openbaarmaking van derden

Id: SOC 2 Type 2 P6.5 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Contractverplichtingen van leveranciers bepalen	CMA_0140 - Contractverplichtingen van leveranciers bepalen	Handmatig, uitgeschakeld	1.1.0
Acceptatiecriteria voor overnamecontract documenteren	CMA_0187 - Acceptatiecriteria voor documentaankoopcontract	Handmatig, uitgeschakeld	1.1.0
Documentbescherming van persoonsgegevens in overnamecontracten	CMA_0194 - Documentbescherming van persoonsgegevens in overnamecontracten	Handmatig, uitgeschakeld	1.1.0
Documentbescherming van beveiligingsgegevens in overnamecontracten	CMA_0195 - Documentbescherming van beveiligingsgegevens in overnamecontracten	Handmatig, uitgeschakeld	1.1.0
Documentvereisten voor het gebruik van gedeelde gegevens in contracten	CMA_0197 - Documentvereisten voor het gebruik van gedeelde gegevens in contracten	Handmatig, uitgeschakeld	1.1.0
Vereisten voor beveiligingscontrole in overnamecontracten documenteer	CMA_0199 - Vereisten voor beveiligingscontrole vastleggen in overnamecontracten	Handmatig, uitgeschakeld	1.1.0
Documentbeveiligingsdocumentatievereisten in overnamecontract	CMA_0200 - Documentbeveiligingsdocumentatievereisten in overnamecontract	Handmatig, uitgeschakeld	1.1.0
Functionele vereisten voor beveiliging documentleren in overnamecontracten	CMA_0201 - Functionele vereisten voor beveiliging document in overnamecontracten	Handmatig, uitgeschakeld	1.1.0
Vereisten voor beveiligingssterkte documenteer in overnamecontracten	CMA_0203 - Vereisten voor beveiligingssterkte documenteer in overnamecontracten	Handmatig, uitgeschakeld	1.1.0
Documenteer de informatiesysteemomgeving in overnamecontracten	CMA_0205 - Documenteer de informatiesysteemomgeving in overnamecontracten	Handmatig, uitgeschakeld	1.1.0
Documenteer de bescherming van gegevens van de kaarthouder in contracten van derden	CMA_0207 - Documenteer de bescherming van gegevens van de kaarthouder in contracten van derden	Handmatig, uitgeschakeld	1.1.0
Informatiebeveiliging en persoonlijke gegevensbescherming	CMA_0332 - Gegevensbeveiliging en persoonlijke gegevensbescherming	Handmatig, uitgeschakeld	1.1.0

Melding van privacyincident

Id: SOC 2 Type 2 P6.6 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Een plan voor het reageren op incidenten ontwikkelen	CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Informatiebeveiliging en persoonlijke gegevensbescherming	CMA_0332 - Gegevensbeveiliging en persoonlijke gegevensbescherming	Handmatig, uitgeschakeld	1.1.0

Boekhouding van openbaarmaking van persoonlijke gegevens

Id: SOC 2 Type 2 P6.7 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Leveringsmethoden voor privacyverklaring implementeren	CMA_0324 - Leveringsmethoden voor privacyverklaring implementeren	Handmatig, uitgeschakeld	1.1.0
Houd nauwkeurige boekhouding van openbaarmakingen van informatie	CMA_C1818 - Houd nauwkeurige boekhouding van openbaarmakingen van informatie	Handmatig, uitgeschakeld	1.1.0
Boekhouding van openbaarmakingen beschikbaar maken op verzoek	CMA_C1820 - Boekhouding van openbaarmakingen beschikbaar maken op verzoek	Handmatig, uitgeschakeld	1.1.0
Privacyverklaring opgeven	CMA_0414 - Privacyverklaring opgeven	Handmatig, uitgeschakeld	1.1.0
Communicatie beperken	CMA_0449 - Communicatie beperken	Handmatig, uitgeschakeld	1.1.0

Kwaliteit van persoonlijke gegevens

Id: SOC 2 Type 2 P7.1 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Kwaliteit en integriteit van PII bevestigen	CMA_C1821 - Kwaliteit en integriteit van PII bevestigen	Handmatig, uitgeschakeld	1.1.0
Richtlijnen voor problemen met het waarborgen van de kwaliteit en integriteit van gegevens	CMA_C1824 - Richtlijnen voor het garanderen van gegevenskwaliteit en integriteit	Handmatig, uitgeschakeld	1.1.0
Onnauwkeurige of verouderde PII controleren	CMA_C1823 - Onnauwkeurige of verouderde PII controleren	Handmatig, uitgeschakeld	1.1.0

Privacyklachtbeheer en compliancebeheer

Id: SOC 2 Type 2 P8.1 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Klachtenprocedures voor privacy documenteer en implementeer	CMA_0189 - Klachtprocedures voor privacy documenteer en implementeer	Handmatig, uitgeschakeld	1.1.0
PII-bedrijven regelmatig evalueren en beoordelen	CMA_C1832 - PII-bedrijven regelmatig evalueren en beoordelen	Handmatig, uitgeschakeld	1.1.0
Informatiebeveiliging en persoonlijke gegevensbescherming	CMA_0332 - Gegevensbeveiliging en persoonlijke gegevensbescherming	Handmatig, uitgeschakeld	1.1.0
Reageren op klachten, problemen of vragen tijdig	CMA_C1853 - Tijdig reageren op klachten, problemen of vragen	Handmatig, uitgeschakeld	1.1.0
Train personeel op piI delen en de gevolgen ervan	CMA_C1871 - Train staff on PII sharing and its impact	Handmatig, uitgeschakeld	1.1.0

Aanvullende criteria voor de verwerking van integriteit

Definities van gegevensverwerking

Id: SOC 2 Type 2 PI1.1 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Leveringsmethoden voor privacyverklaring implementeren	CMA_0324 - Leveringsmethoden voor privacyverklaring implementeren	Handmatig, uitgeschakeld	1.1.0
Privacyverklaring opgeven	CMA_0414 - Privacyverklaring opgeven	Handmatig, uitgeschakeld	1.1.0
Communicatie beperken	CMA_0449 - Communicatie beperken	Handmatig, uitgeschakeld	1.1.0

Systeeminvoer over volledigheid en nauwkeurigheid

Id: SOC 2 Type 2 PI1.2 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Gegevensinvoervalidatie uitvoeren	CMA_C1723 - Gegevensinvoervalidatie uitvoeren	Handmatig, uitgeschakeld	1.1.0

Systeemverwerking

Id: SOC 2 Type 2 PI1.3 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Fysieke toegang beheren	CMA_0081 - Fysieke toegang beheren	Handmatig, uitgeschakeld	1.1.0
Foutberichten genereren	CMA_C1724 - Foutberichten genereren	Handmatig, uitgeschakeld	1.1.0
De invoer, uitvoer, verwerking en opslag van gegevens beheren	CMA_0369 - De invoer, uitvoer, verwerking en opslag van gegevens beheren	Handmatig, uitgeschakeld	1.1.0
Gegevensinvoervalidatie uitvoeren	CMA_C1723 - Gegevensinvoervalidatie uitvoeren	Handmatig, uitgeschakeld	1.1.0
Labelactiviteit en -analyse controleren	CMA_0474 - Labelactiviteit en -analyse controleren	Handmatig, uitgeschakeld	1.1.0

Systeemuitvoer is voltooid, nauwkeurig en tijdig

Id: SOC 2 Type 2 PI1.4 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Fysieke toegang beheren	CMA_0081 - Fysieke toegang beheren	Handmatig, uitgeschakeld	1.1.0
De invoer, uitvoer, verwerking en opslag van gegevens beheren	CMA_0369 - De invoer, uitvoer, verwerking en opslag van gegevens beheren	Handmatig, uitgeschakeld	1.1.0
Labelactiviteit en -analyse controleren	CMA_0474 - Labelactiviteit en -analyse controleren	Handmatig, uitgeschakeld	1.1.0

Invoer en uitvoer volledig, nauwkeurig en tijdig opslaan

Id: SOC 2 Type 2 PI1.5 Eigendom: Gedeeld

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Azure Backup moet zijn ingeschakeld voor virtuele machines	Zorg ervoor dat uw virtuele Azure-machines worden beveiligd door Azure Backup in te schakelen. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure.	AuditIfNotExists, uitgeschakeld	3.0.0
Fysieke toegang beheren	CMA_0081 - Fysieke toegang beheren	Handmatig, uitgeschakeld	1.1.0
Back-upbeleid en -procedures instellen	CMA_0268 - Back-upbeleid en -procedures instellen	Handmatig, uitgeschakeld	1.1.0
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDB	Met Azure Database for MariaDB kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server.	Controle, uitgeschakeld	1.0.1
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL	Met Azure Database for MySQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server.	Controle, uitgeschakeld	1.0.1
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL	Met Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server.	Controle, uitgeschakeld	1.0.1
Besturingselementen implementeren om alle media te beveiligen	CMA_0314 - Besturingselementen implementeren om alle media te beveiligen	Handmatig, uitgeschakeld	1.1.0
De invoer, uitvoer, verwerking en opslag van gegevens beheren	CMA_0369 - De invoer, uitvoer, verwerking en opslag van gegevens beheren	Handmatig, uitgeschakeld	1.1.0
Labelactiviteit en -analyse controleren	CMA_0474 - Labelactiviteit en -analyse controleren	Handmatig, uitgeschakeld	1.1.0
Back-upgegevens afzonderlijk opslaan	CMA_C1293 - Back-upgegevens afzonderlijk opslaan	Handmatig, uitgeschakeld	1.1.0

Volgende stappen

Aanvullende artikelen over Azure Policy:

• Overzicht voor naleving van regelgeving.
• Bekijk de structuur van initiatiefdefinities.
• Bekijk andere voorbeelden op Voorbeelden van Azure Policy.
• Lees Informatie over de effecten van het beleid.
• Ontdek hoe u niet-compatibele resources kunt herstellen.