ISO 27001; zinnig voor een hostingbedrijf?

Veel bedrijven vragen naar een ISO/IEC 27001 certificering als ze hun nieuwe hostingpartner selecteren. Verschillende hostingbedrijven hebben dan ook een ISO/IEC 27001-certificaat om aan de behoefte te voldoen. Maar hoe zinnig is het nu eigenlijk?

Wat is ISO 27001? 
De ISO/IEC 27001 norm is een ISO-standaard voor informatiebeveiliging. Deze internationale norm is van toepassing op alle typen organisaties en specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico’s voor de organisatie.

Waarom vragen zoveel partijen er naar?
Omdat het voor een externe partij lastig is de processen te doorgronden van een leverancier zoekt men naar standaarden. Als onderdeel van de keten waar processen gecontroleerd worden door bijvoorbeeld toezichthouders, is het belangrijk een certificering door te kunnen geven. Door het selecteren van leveranciers die ISO/IEC 27001 gecertificeerd zijn, kan de uitbestedende partij aan haar toezichthouder bewijzen dat de processen door de keten heen geborgen zijn.

Is het lastig te behalen?
Afhankelijk van hoe goed de processen op het gebied van informatiebeveiliging op orde zijn, zal het meer of minder werk zijn om compliant te zijn. Los van de daadwerkelijke situatie dient er volgens de ISO/IEC 27001-norm vastlegging plaats te vinden. Deze dient zowel van het beleid als ook van de praktische uitvoering te zijn. Om die reden is het dus ook van belang dat er al enige tijd volgens de norm wordt gewerkt alvorens een externe auditor een certificaat kan afgeven.

Is het waardevol vanuit het perspectief van de klant?
Het is zeker zo dat een ISO/IEC 27001-certificaat iets zegt over de organisatie. Als een externe auditor een officieel certificaat heeft afgegeven dan zijn de processen op het gebied van informatiebeveiliging goed in kaart gebracht, beschreven en worden deze toegepast en bijgehouden. Dit betekent dat voor professionele opdrachtgevers die zelf ook gewend zijn zo te werken er veel match zal zijn tussen de bedrijven. De relatie tussen opdrachtgever en opdrachtnemer komt dit zeker ten goede.

Het is echter niet zo dat de daadwerkelijke technische informatiebeveiliging bekeken is tijdens een ISO/IEC 27001-audit. Het is een procesmatige audit en zegt niets over de daadwerkelijke technische situatie bij uw hostingprovider. Hier zijn andere audits voor, zoals penetratietesten, die puur iets zeggen over de technische mogelijkheden om misbruik te maken. Hierbij kan gedacht worden aan Beschikbaarheid (denk aan een DDoS-aanval), Integriteit (de data mag alleen door bevoegde personen te wijzigen zijn) en Vertrouwelijkheid (de data mag alleen beschikbaar zijn aan personen waar de data voor bedoeld is).

Tot slot
Het is zeker aan te raden om een hostingpartner te kiezen die een ISO/IEC 27001-certificaat heeft. Let hier bij wel goed op naar de scope van de audit die heeft plaatsgevonden. Soms is niet het hele bedrijf bekeken maar slechts een bepaald onderdeel van de dienstverlening. In dat geval is het van belang te bekijken of dit het relevante deel is. Daarnaast zegt een ISO/IEC 27002-certificaat niet perse iets over de daadwerkelijke technische inrichting. Opdrachtgevers huren daarom regelmatig partijen in voor een penetratietest (hack-test) om een volledig beeld te krijgen.