Weblog

door Bas onder GeneralBusiness / Legal | 0 comments

CloudVPS hergecertificeerd tegen zwaardere ISO27001:2013 normen

Informatiebeveiliging neemt binnen CloudVPS een belangrijke plek in: we zijn zuinig op uw en onze data en beschermen die dus ook. Een van de middelen daarvoor is ISO27001, een standaard op het gebied van informatiebeveiliging.

In 2012 zijn we begonnen met het implementeren van ISO27001 en begin 2013 zijn we gecertificeerd. Daarmee houdt het niet op: informatiebeveiliging is continu werk en niet iets dat je eenmalig doet. De standaard onderkent dat ook: Elk jaar opnieuw komt een auditor langs om te toetsen of we nog voldoen aan de eisen die de standaard definieert.

De standaard zelf is ook levend: deze wordt periodiek geactualiseerd. Dat moet ook wel aangezien het IT-landschap om ons heen erg verandert. De versie van de standaard waar CloudVPS mee begonnen is stamt uit 2005, een tijd waarin bijvoorbeeld de Cloud nog helemaal niet bestond.

Dat is op zich niet erg: De standaard zelf laat ruimte om extra maatregelen te introduceren om risico's af te dekken die in de basisstandaard niet worden erkend. CloudVPS heeft dat ook gedaan: We hebben een aanvullende set met maatregelen gedefinieerd en gepubliceerd onder de noemer 'CloudControls', deze set is integraal onderdeel gemaakt van onze standaard.

Nieuwe versie ISO27001

In september 2013 is een nieuwe versie van de standaard gepubliceerd. De nieuwe versie heeft een aantal zaken vereenvoudigd en daarmee duidelijker gemaakt, ook is de structuur wat beter opgezet. Maar de grootste winst zit hem in het duidelijk definiëren van de context van de organisatie. Waar de oude versie informatiebeveiliging primair als een interne aangelegenheid beschouwde ziet de nieuwe versie dat informatiebeveiliging afhankelijk is van een heel aantal schakels in een keten, schakels die deels binnen en deels buiten het bedrijf liggen.

Een goed voorbeeld is de afhankelijkheid van leveranciers: Wanneer een leverancier een afspraak niet na kan komen kan dit de beschikbaarheid van informatie in gevaar brengen. Een concreet voorbeeld: Als je geen goede afspraak met je leveranciers hebt gemaakt over vervanging van defecte hardware dan bestaat de kans dat de systemen uitvallen omdat reserveonderdelen niet voorradig of op tijd geleverd worden.

De context van de organisatie werkt ook op het vlak van informatiedeling: Onze klanten willen goed, snel en veilig informatie kunnen opvragen bij ons. Het is aan ons om goed te analyseren om welke informatie het gaat, hoe die informatie moet worden gedeeld en hoe we kunnen verzekeren dat we de juiste informatie met de juiste mensen delen en met niemand anders.

De oude versie van de standaard bood hier ook al handvaten voor. Deze waren echter impliciet, met de nieuwe versie is dit een van de centrale uitgangspunten van de standaard geworden.

In het afgelopen jaar hebben we daarom hard gewerkt aan de transitie, met een succesvolle audit aan het begin van dit jaar als resultaat: CloudVPS is nu gecertificeerd tegen ISO27001:2013 en NEN7510:2011.

De CloudControls kunnen als losse set worden ingezien en gedownload op http://www.cloudcontrols.org/.

Meer informatie over ISO op http://www.iso.eu/
 

Comments (0)

Laat een reactie achter

Commenting is not available in this channel entry.
VPS Bestellen
VPS Bestellen