ISO 27001 voor hosting – hoe en wat

Even doorbijten, een korte technische definitie:

“ISO 27001 is een wereldwijd erkende norm op het gebied van informatiebeveiliging. De norm beschrijft hoe je procesmatig met het beveiligen van informatie kunt omgaan, met als doel om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen de organisatie zeker te stellen. Door het behalen van een ISO 27001 certificering maak je als organisatie aantoonbaar dat je voldoet aan alle eisen en dat je maatregelen hebt getroffen tegen informatiebeveiligingsrisico’s.”

Overgeslagen? Snappen we. In het kort: met dit certificaat laat je zien dat je als organisatie goed nagedacht hebt over de eisen en processen rondom informatiebeveiliging. Je voldoet aan de standaard. Dat kan ook niet anders, als je alle onderdelen van de norm wilt borgen.

Hoe jullie ook een ISO 27001 voor hosting kunnen halen? Dat is een iets langer verhaal.

Het gaat om het inzichtelijk maken van de flow van informatie in je organisatie: je beschrijft de processen én bedenkt hoe je ze kunt verbeteren. Daar komen ook zogeheten beheersmaatregelen bij kijken: wat je doet om alles onder controle te houden en te checken. Als dit loopt én je hebt het goed beschreven, komt een externe auditor je organisatie doorlichten. Als je beschrijving binnen de kaders van de norm valt én je werkt zoals je hebt beschreven, krijg je het certificaat.

1. Staat in zo’n certificaat precies vermeld wat je moet doen?

Nee. Een ISO-normering is precies dat: een norm. De norm is redelijk abstract, dus je moet zelf voor een goede invulling zorgen. Een voorbeeld:

In de norm staat: 7.2 A De organisatie moet: de benodigde competentie vaststellen van de perso(o)n(en) die onder haar gezag werkzaamheden verricht(en) die haar prestaties op het gebied van informatiebeveiliging beïnvloeden.

Bij Rootnet borgen we door te werken met duidelijke rolomschrijvingen, een kennismatrix, een autorisatiematrix en natuurlijk door opleiding en certificering.

Of dit, ook uit de norm:

6.1.2 A De organisatie moet een risicobeoordelingsproces voor informatiebeveiliging definiëren en toepassen dat:

a) risicocriteria voor informatiebeveiliging vaststelt en onderhoudt, waaronder:

1) de risicoacceptatiecriteria; en

2) criteria voor het verrichten van risicobeoordelingen van informatiebeveiliging;

Hiervoor gebruiken wij een risicoanalyse waarin we het risico, de tegenmaatregelen, het restrisico en eventuele acceptatie of borging daarvan afwegen.

Als organisatie ben je dus vrij in hoe je invulling gaat geven aan de criteria uit de norm. Maar omdat je hier invulling aan moet geven, moet je wel druk aan de slag met je inrichting rondom informatiebeveiliging.

2. Is een ISO 27001-certificering verplicht?

Nee. Maar het scheelt een hoop werk. Een gemeente of ziekenhuis, bijvoorbeeld, moet vanuit de AVG de veiligheid van persoonsgegevens borgen. Voldoen je leveranciers aan de norm, then that’s it. Voldoen ze niet, dan moet je zelf gaan bedenken hoe je die veiligheid kunt checken. Veel grote klanten kiezen er daarom voor niet opnieuw het wiel uit te vinden en om een certificering te vragen.

3. Is er nog iets dat ik moet checken bij jullie?

Als je toeleverancier ISO 27001-gecertificeerd is, kun je hun ‘verklaring van toepasselijkheid’ opvragen. Daarmee geven ze aan wat binnen hun certificaat valt. Er zijn namelijk dingen die je kunt uitsluiten. In ons geval is dat bijvoorbeeld het onderdeel ‘Laad- en loslocatie’, want die hebben we niet. Je hoeft niet te vragen om zo’n verklaring, maar je ziet daarmee wel precies wat het certificaat van een organisatie waard is.

Je klanten kunnen er om vragen: je mag een groot project doen, maar alleen als je hosting 27001 gecertificeerd is, want ze werken veel met persoonsgegevens. Kijk je op tegen al dat werk en de kosten? No worries, dat hoeft dus niet! Of beter gezegd: omdat wij ons certificaat hebben, kun jij ISO 27001-gecertificeerde hosting aanbieden. Je kunt dus met exact nul extra moeite ook je grotere klanten vol vertrouwen tegemoet stappen: je informatiebeveiliging voldoet. You’re welcome!

Ps-je aan dit artikel: naast ISO 27001 voor informatiebeveiliging, zijn we ook ISO 9001 (kwaliteit) en NEN7510 (informatiebeveiliging voor de zorg) gecertificeerd. Hebben we hard aan gewerkt, dus mogen we best even extra noemen.