ISMS
Om te voldoen aan de ISO/IEC 27001 heeft Bluerail een Information Security Management System geïmplementeerd.
Het ISMS gaat uit van de PDCA cyclus (Plan, Do, Check, Act) en definieert onder andere meer dan 100
beheersmaatregelen om de kans of impact van risico's te beperken. Het uitgangspunt van het beleid is continue
inspelen op ontwikkelingen binnen de markt en anticiperen op mogelijke dreigingen.
Het eerste en belangrijkste punt van het ISMS en de ISO/IEC 27001 is de scope. Deze bepaalt voor welk deel van de dienstverlening en organisatie de beheersmaatregelen implementeert.
Scope
Bluerail levert hostingdiensten voor onder andere Ruby on Rails applicaties. Onze infrastructuur bestaat uit
een combinatie van hardware (zoals routers, firewalls, backups, servers) en software (zoals provisioning-tools
en de installatie van uw VPS)
De gehele infastructuur is opgenomen binnen de scope. Dat wil zeggen dat de certificering betrekking heeft op
onze netwerkvoorzieningen tot aan en inclusief de installatie, het onderhoud en de opslag van uw VPS. Omdat
wij geen controle hebben over uw applicatie zelf, valt deze buiten scope. Wel dragen wij zorg voor de
informatie die door u op het platform wordt opgeslagen.
-
Installatie, onderhoud en monitoring van infrastructuur, systeemsoftware en configuratie behorende bij
hostingdiensten
-
Ontwikkeling van software
-
Levering van SaaS diensten
Omdat wij ook zelf software ontwikkelen valt het ontwikkelproces ook binnen de scope. Software ontwikkeling
doen wij via LICO Innovations.
Verklaring van toepasselijkheid
Een voorwaarde voor het verkrijgen van een certificaat is het opstellen van een
verklaring van toepasselijkheid. De ISO/IEC 27001 definieert 114
beheersmaatregelen welke geïmplementeerd moeten zijn. Een voorbeeld hiervan is het monitoren van de systemen en
het bijhouden van audit logs. Daarnaast hebben veel controls betrekking op het veilig en gecontroleerd geven van
toegang tot de informatieverwerkende systemen.
Toetsing
De implementatie en effectiviteit van ons ISMS en de daarin opgenomen maatregelen wordt jaarlijks getoets door
BSI. BSI is
marktleider op het gebied van auditing, certificatie, zoals ISO certificering en normering voor bedrijven.