Sinds 2013 is Vindicta ISO 27001 gecertificeerd en in 2019 volgde een succesvolle hercertificering. Dit jaar wordt in oktober weer een controle audit uitgevoerd. BSI doet dat elk jaar tot na 3 jaar het certificaat verloopt en er een volledige hercertificering plaatsvindt. Nu komt daar een nieuwe uitdaging bij: ISO 27017. Dit is een toevoeging op ISO 27001 en gaat vooral over de manier waarop je de beschikbaarheid, integriteit en vertrouwelijkheid van data hebt geborgd in de publieke cloud. Nu steeds meer bedrijven voor die publieke cloudoplossingen kiezen, is certificering voor Vindicta een logische keuze. Gijs Viester legt uit.
verklaring van toepasselijkheid
‘Toen we ons gingen certificeren voor ISO27001, heb ik dat destijds gecoördineerd. Er zitten 114 beheersmaatregelen (controls) in, die allemaal zijn opgenomen in een overzicht. Dat overzicht heet de verklaring van toepasselijkheid en daarin geef je als organisatie aan welke van die 114 controls voor jou van toepassing zijn. Je zou er dus theoretisch 113 kunnen weglaten om je voor 1 punt te laten certificeren. Wij zijn voor 101 van die 114 punten gecertificeerd. De 13 die we niet van toepassing hebben verklaard, hebben betrekking op e-commerce en ontwikkeling van software en daar doen wij niets mee.’
extra controlepunten
‘Intussen is ons ISO-team uitgebreid met Frans Los. Hij gaat op uitvoerend niveau samen met mij ervoor zorgen dat Vindicta de komende jaren slaagt voor het continueren van de ISO 27001 certificering en de inrichting van de ISO 27017 certificering. Bij de laatste gaat het om 37 extra controls, waarvan we vorig jaar al hebben gezegd dat we ze gaan toevoegen aan onze verklaring van toepasselijkheid. Intussen hebben we van al die punten beschreven welke maatregelen we hebben genomen en dat doorgenomen met onze auditor BSI. We waren van plan om het dit jaar al mee te nemen in de audit, maar door Covid-19 wordt dat een jaartje later.’
iso 27017 biedt extra zekerheid
‘ISO 27017 gaat ons nog verder brengen als leverancier van clouddiensten. Alle betrokken partijen, zoals klanten, toezichthouders en medewerkers kunnen zien dat we aanvullende controles hebben geïmplementeerd om cloud-specifieke informatiebeveiligingsbedreigingen en -risico’s aan te pakken. Onze diensten (zie ons certificaat voor de scope) worden nu al uitgevoerd onder het ISO 27001 certificaat, maar de verantwoordelijkheden liggen in de publieke cloud anders. Nu kunnen we bijvoorbeeld wel garanderen dat er sluitende afspraken zijn gemaakt in een verwerkersovereenkomst; met een ISO 27017 certificaat kan je ook aantonen dat je dit volledig volgens de norm doet.
Mocht je zelf als bedrijf bezig zijn met een ISO-certificering of heeft een klant van je hiermee te maken? Neem dan contact op met Gijs Viester.