ISO/IEC 27001 Informatiebeveiliging

Veilig en verantwoord

Met de komst van de Algemene Verordening Gegevensbescherming (AVG) wordt het belang van informatiebeveiliging onderstreept. Datalekken moeten worden gemeld en er worden harde eisen gesteld aan het verwerken van persoonsgegevens en omgaan met privacy. Op de AVG wordt toezicht gehouden door de Autoriteit Persoonsgegevens.

De AVG stelt het hebben van een ISO/IEC 27001 certificering niet als vereiste, maar geeft wel nadrukkelijk aan dat certificering een belangrijk hulpmiddel is bij het aantoonbaar maken dat er voldaan is aan de eisen en voorschriften vanuit de AVG.

Kijk voor meer informatie op de website van de NEN.

ISMS

Om te voldoen aan de ISO/IEC 27001 heeft Bluerail een Information Security Management System geïmplementeerd.

Het ISMS gaat uit van de PDCA cyclus (Plan, Do, Check, Act) en definieert onder andere meer dan 100 beheersmaatregelen om de kans of impact van risico's te beperken. Het uitgangspunt van het beleid is continue inspelen op ontwikkelingen binnen de markt en anticiperen op mogelijke dreigingen.

Het eerste en belangrijkste punt van het ISMS en de ISO/IEC 27001 is de scope. Deze bepaalt voor welk deel van de dienstverlening en organisatie de beheersmaatregelen implementeert.

Scope

Bluerail levert hostingdiensten voor onder andere Ruby on Rails en .NET applicaties. Onze infrastructuur bestaat uit een combinatie van hardware (zoals routers, firewalls, backups, servers) en software (zoals provisioning-tools en de installatie van uw VPS)

De gehele infrastructuur is opgenomen binnen de scope. Dat wil zeggen dat de certificering betrekking heeft op onze netwerkvoorzieningen tot aan en inclusief de installatie, het onderhoud en de opslag van uw VPS. Omdat wij geen controle hebben over uw applicatie zelf, valt deze buiten scope

Installatie, onderhoud en monitoring van hostinginfrastructuur
Installatie, onderhoud en monitoring van managed hostingdiensten (beperkt tot systeemsoftware en configuratie, binnen de ondersteunde lifecycle van de betreffende softwareleverancier)
Ontwikkelproces voor ontwikkeling van software (indien overeengekomen dat het project volgens ons vastgelegde ontwikkelproces wordt uitgevoerd)
Levering van SaaS-diensten

Omdat wij ook zelf software ontwikkelen valt het ontwikkelproces ook binnen de scope. Software ontwikkeling doen wij via LICO Innovations

Verklaring van toepasselijkheid

Een voorwaarde voor het verkrijgen van een certificaat is het opstellen van een verklaring van toepasselijkheid 93 beheersmaatregelen welke geïmplementeerd moeten zijn. Een voorbeeld hiervan is het monitoren van de systemen en het bijhouden van audit logs. Daarnaast hebben veel controls betrekking op het veilig en gecontroleerd geven van toegang tot de informatieverwerkende systemen.

Toetsing

De implementatie en effectiviteit van ons ISMS en de daarin opgenomen maatregelen wordt jaarlijks getoetst door BSI.

Gebruik onze kennis en laat u adviseren

Wij gaan verantwoord om met uw hosting. Omdat wij ook gecertificeerd zijn voor software ontwikkeling en SaaS diensten kunnen wij u ook adviseren over uw eigen applicatie. Gebruik bijvoorbeeld bundle audit op onze CI servers en zorg dat uw Gems in de applicatie geen kwetsbaarheden bevatten. Neem contact op voor de mogelijkheden.

Advies