Onze webhosting provider XXL Hostingis druk bezig geweest met het behalen van ISO 27001 en 27017 certificeringen. Hiermee kunnen ze onafhankelijk aantonen dat de beveiliging en privacy van onze dienstverlening voldoet aan deze erkende normen. In juli en augustus is een auditor van Digitrust vier dagen langs geweest op ons kantoor om onze inspanningen te controleren, en met succesvol resultaat: we hebben de ISO 27001 en 27017 certificeringen behaald!

Opzetten van een ISMS

Het certificeringstraject zijn we ongeveer een half jaar geleden begonnen. Een centraal onderdeel van het traject bestond uit het opzetten en inrichten van een “Information Security Management System” (afgekort: ISMS), waarin we al ons beleid, procedures en registraties m.b.t. informatiebeveiliging hebben vastgelegd. Je kunt het zien als een soort wiki, en zaken die we erin hebben opgeslagen zijn bijvoorbeeld:

• Beleidsdocumenten voor medewerkers waarin staat beschreven hoe we omgaan met bijvoorbeeld wachtwoorden, versleuteling, back-ups, werkplekken en development.
• Alle beveiligingsrisico’s die impact kunnen hebben op onze dienstverlening en de bijbehorende maatregelen die we hebben genomen om die risico’s te beperken.
• Hoe we bepaalde bedrijfsprocessen stap-voor-stap uitvoeren, zoals het aannamen van nieuw personeel, het installeren van een nieuwe server en het doorvoeren van wijzigingen aan systemen.
• Een overzicht van al onze leveranciers inclusief een checklist om te controleren of elke leverancier voldoet aan onze beveiligings- en privacyeisen.
• Een verwerkingsregister waarin staat welke persoonsgegevens wij verwerken, hoe lang deze gegevens worden bewaard, en welke subverwerkers er zijn.

Naast dit certificaat, hebben we nog een tweede certificaat voor de ISO 27017 certificering. ISO 27017 is een uitbreiding op de 27001 standaard, die inzoomt op de risico’s en maatregelen die spelen in onze rol als aanbieder en afnemer van clouddiensten. Omdat we als hostingprovider clouddiensten aanbieden aan jou als klant, maar wij zelf ook bij externe leveranciers clouddiensten inkopen – is het essentieel dat de beveiliging en privacy in de gehele keten gewaarborgd is.

Continue checks en audits

Nu dat we de certificering hebben behaald, betekent het niet dat we achterover kunnen gaan leunen. Beveiliging en privacy is natuurlijk niet iets wat je even in 1x voor altijd geregeld hebt; het is een continu proces wat altijd gecontroleerd moet worden en ook altijd verbeterd kan worden.

We hebben een controleschema waarin we elk kwartaal controleren of we nog steeds aan alle aspecten van ons beveiligingsbeleid voldoen. Als er onverhoopt toch iets mis gaat, of als er beveiligingsrisico’s bijkomen of veranderen, passen we ons beveiligingsbeleid daarop aan en verbeteren we het. Een auditor zal tevens jaarlijks controleren of ons ISMS nog aan de normen voldoet, en we ook controles en verbeteringen doorvoeren.