ISO27001

Een centraal onderdeel van het traject bestond uit het opzetten en inrichten van een "Information Security Management System" (afgekort: ISMS), waarin ze al hun beleid, procedures en registraties m.b.t. informatiebeveiliging hebben vastgelegd. Je kunt het zien als een soort wiki, en zaken die ze erin hebben opgeslagen zijn bijvoorbeeld:

• Beleidsdocumenten voor medewerkers waarin staat beschreven hoe ze omgaan met bijvoorbeeld wachtwoorden, versleuteling, back-ups, werkplekken en development.
• Alle beveiligingsrisico's die impact kunnen hebben op de dienstverlening en de bijbehorende maatregelen die ze hebben genomen om die risico's te beperken.
• Hoe ze bepaalde bedrijfsprocessen stap-voor-stap uitvoeren, zoals het aannamen van nieuw personeel, het installeren van een nieuwe server en het doorvoeren van wijzigingen aan systemen.
• Een overzicht van al hun leveranciers inclusief een checklist om te controleren of elke leverancier voldoet aan hun beveiligings- en privacyeisen.
• Een verwerkingsregister waarin staat welke persoonsgegevens zij verwerken, hoe lang deze gegevens worden bewaard, en welke subverwerkers er zijn.

Naast dit certificaat, hebben ze nog een tweede certificaat voor de ISO 27017 certificering. ISO 27017 is een uitbreiding op de 27001 standaard, die inzoomt op de risico's en maatregelen die spelen in de rol als aanbieder en afnemer van clouddiensten. Omdat we via hen als hostingprovider clouddiensten aanbieden aan jou als klant, maar zij zelf ook bij externe leveranciers clouddiensten inkopen - is het essentieel dat de beveiliging en privacy in de gehele keten gewaarborgd is.