ISO/IEC 27001

Informatiebeveiliging

Met de komst van de Algemene Verordening Gegevensbescherming (AVG) wordt het belang van informatiebeveiliging onderstreept. Datalekken moeten worden gemeld en er worden harde eisen gesteld aan het verwerken van persoonsgegevens en omgaan met privacy. Op de AVG wordt toezicht gehouden door de Autoriteit Persoonsgegevens.

AVG logo

De AVG stelt het hebben van een ISO/IEC 27001 certificering niet als vereiste, maar geeft wel nadrukkelijk aan dat certificering een belangrijk hulpmiddel is bij het aantoonbaar maken dat er voldaan is aan de eisen en voorschriften vanuit de AVG.

Kijk voor meer informatie op de website van de NEN.

ISMS

Om te voldoen aan de ISO/IEC 27001 heeft Bluerail een Information Security Management System geïmplementeerd.

Het ISMS gaat uit van de PDCA cyclus (Plan, Do, Check, Act) en definieert onder andere meer dan 100 beheersmaatregelen om de kans of impact van risico's te beperken. Het uitgangspunt van het beleid is continue inspelen op ontwikkelingen binnen de markt en anticiperen op mogelijke dreigingen.

Het eerste en belangrijkste punt van het ISMS en de ISO/IEC 27001 is de scope. Deze bepaalt voor welk deel van de dienstverlening en organisatie de beheersmaatregelen implementeert.

ISO 27001 logo

Scope

Bluerail levert hostingdiensten voor onder andere Ruby on Rails applicaties. Onze infrastructuur bestaat uit een combinatie van hardware (zoals routers, firewalls, backups, servers) en software (zoals provisioning-tools en de installatie van uw VPS)

De gehele infastructuur is opgenomen binnen de scope. Dat wil zeggen dat de certificering betrekking heeft op onze netwerkvoorzieningen tot aan en inclusief de installatie, het onderhoud en de opslag van uw VPS. Omdat wij geen controle hebben over uw applicatie zelf, valt deze buiten scope. Wel dragen wij zorg voor de informatie die door u op het platform wordt opgeslagen.

  • Installatie, onderhoud en monitoring van infrastructuur, systeemsoftware en configuratie behorende bij hostingdiensten
  • Ontwikkeling van software
  • Levering van SaaS diensten

Omdat wij ook zelf software ontwikkelen valt het ontwikkelproces ook binnen de scope. Software ontwikkeling doen wij via LICO Innovations.

Verklaring van toepasselijkheid

Een voorwaarde voor het verkrijgen van een certificaat is het opstellen van een verklaring van toepasselijkheid. De ISO/IEC 27001 definieert 114 beheersmaatregelen welke geïmplementeerd moeten zijn. Een voorbeeld hiervan is het monitoren van de systemen en het bijhouden van audit logs. Daarnaast hebben veel controls betrekking op het veilig en gecontroleerd geven van toegang tot de informatieverwerkende systemen.

Toetsing

De implementatie en effectiviteit van ons ISMS en de daarin opgenomen maatregelen wordt jaarlijks getoets door BSI. BSI is marktleider op het gebied van auditing, certificatie, zoals ISO certificering en normering voor bedrijven.