ISO 27001, NEN 7510 en CloudControls Certificering

Business/legal

In 2012 zijn wij een certificeringsproces begonnen. Wij bemerkten dat onze klanten steeds grotere hoeveelheiden belangrijke data in onze cloud onderbrachten. Certificering speelt hierbij een belangrijke rol door onze klanten nog meer zekerheid over de kwaliteit van onze diensten te leveren.

Wij hebben besloten ons te richten op de security standaarden ISO 27001 en NEN 7510 en een eigen set strenge controls. Dit zijn de CloudControls die de cloud specifieke risicos afdekken. De afgelopen maanden zijn wij geaudit op deze drie normenkaders en deze week heeft internationale risk manager DNV een positief advies gegeven aan de UKAS commissie. Wij verwachten in maart deze certificeringen te ontvangen.

ISO 27001 en NEN 7510

De meest bekende IT standaard in Europa is de ISO 27001, dit is een internationale IT security standaard die bestaat uit 133 controls. Gecertificeerde partijen mogen zelf kiezen welke controls van toepassing zijn. Het aantal gekozen controls heeft erg veel invloed op het vertrouwen dat de certificering uitstraald. Wij hebben alle controls van toepassing verklaard.

Specifiek voor de gezondheidszorg hebben wij besloten de NEN 7510 behalen. Dit is een verzwaarde versie van de ISO 27001 waarbij de controls toegespitst zijn op het beschermen van patientgegevens.

De CloudControls

Naast de security risico's die door de ISO 27001 en NEN 7510 worden beheerst zijn er bij het uitbesteden naar de cloud nog andere zaken die voor onzekerheid kunnen zorgen. Hier zijn met name de 'Outsourcing risico's' belangrijk, risico's die worden geïntroduceerd doordat u een deel van uw IT infrastructuur nu van een externe partij verkrijgt. Vragen die u kunt stellen zijn: Wat zal de cloud provider doen als een buitenlandse overheid uw data opvraagd? Wat zijn de garanties omtrent informatievoorziening aangaande incidenten of de vervulling van de afgesproken SLA?

Een andere klasse van onzekerheden zijn 'multi-tennancy risico's', dit zijn risico's die te maken hebben met het delen van infrastructuur met andere klanten. Een voorbeeld van een dergelijk risico is als een enkele klant de mogelijkheid heeft alle beschikbare resources op te souperen.

Er bestaat op dit moment geen standaard die deze zaken afdekt en hierom hebben wij samen met KPMG en enkele andere partijen de CloudControls ontwikkeld. Dit is een set van 38 controls die outsourcing risico's afdekken en 5 controls die multi-tennancy risico's beheersen.

Download de geïdentificeerde risicos en een lijst met vragen die u zeker aan uw cloud provider moet stellen.