BIT, zakelijke internet service provider en datacenter in Ede, is onlangs gecertificeerd door
KEMA voor zowel de datacenter- als internet service provider-diensten. Daarmee voldoet BIT aan de normen van ISO/IEC 27001:2005, de internationale standaard voor informatiebeveiliging.
Omdat BIT bij aanvang weinig ervaring had met dergelijke certificeringstrajecten, is een externe partij in de arm genomen:
R5-projects. Zij hebben BIT begeleid in de voorbereidingen op de certificering door middel van ondersteuning en advies aan de betrokkenen. Volgens BIT is de expertise en ervaring van R5-projects zeer waardevol geweest en heeft er aan bijgedragen dat de certificering nu behaald is. Het bepalen van het beleid en het schrijven van documentatie is uiteindelijk door BIT zelf gedaan.
Nadat ook R5-projects van mening was dat BIT er, zowel qua documentatie als qua operatie, klaar voor was, is
KEMA gevraagd om de ISO 27001 audit uit te voeren. Deze audit bestaat uit twee delen. Het eerste deel is in september uitgevoerd. Hierbij is door de auditor gekeken of BIT een ISMS (’Information Security Management System’) heeft dat voldoet aan de criteria en of de documentatie op orde is.
ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en verbeteren van een ISMS een systeem voor het beheren en beheersen van informatiebeveiliging. Belangrijk hierbij is dat informatiebeveiliging beschouwd wordt als een permanent proces. Het ISMS zorgt ervoor dat een organisatie blijft leren en verbeteren op het gebied van informatiebeveiliging. Hiervoor wordt de zogenaamde
PDCA-cyclus gebruikt. Deze bestaat uit vier stappen:
Plan (bepaal maatregelen),
Do (voer de geplande maatregelen uit),
Check (meet en controleer effectiviteit van de maatregelen) en
Act (stuur bij/actualiseer op basis van de resultaten uit de check-fase).
Naast het al genoemde ISMS worden er in de norm eisen gesteld aan diverse aspecten van de informatiebeveiliging. Dit betreft zaken, zoals:
- risico-analyses
- fysieke en logische beveiliging en beheer van toegangsrechten
- het kennisniveau en bewustzijn van medewerkers
- wijzigingsbeheer
- (beveiligings)incidentbeheer
- controles en audits
- continuïteitsplanning
Het totale overzicht hiervan is te vinden in
ISO 27002, de set met maatregelen waarnaar verwezen wordt in ISO 27001.
Bij informatiebeveiliging wordt vaak vooral gedacht aan het beschermen van informatie tegen mensen die er geen toegang toe horen te hebben: het
vertrouwelijkheids-aspect. Er zijn echter nog twee aspecten die minimaal net zoveel van toepassing zijn:
beschikbaarheid (is informatie voorhanden op het moment dat het nodig is?) en
integriteit (is de informatie betrouwbaar en volledig?).
Dit alles betekent niet dat BIT nu klaar is met ISO 27001. De auditor verwoordde het al als volgt: “Jullie hebben je zwemdiploma, nu is het tijd om te gaan zwemmen”. Dit betekent dat het ISMS moet blijven functioneren en de vier stappen van de PDCA-cyclus doorlopen moeten blijven worden.
Een ISO 27001 certificaat is drie jaar geldig, maar ieder jaar wordt er een controle uitgevoerd door de certificerende instantie en bij grove overtredingen kan een certificaat ingetrokken worden.
Over R5-projects BV
R5-projects is een onafhankelijk IT-adviesbedrijf. Met 60 top IT – en management consultants ondersteunen wij onze klanten bij het oplossen van hun IT vraagstukken.
Veel organisaties hebben problemen met het goed afstemmen van strategie en beleid met ondersteunende IT systemen. In de organisatie kan verschil in kennis van IT een barrière vormen, maar ook de cultuur, taal en verwachtingen lopen vaak uiteen. Wij slaan de brug tussen de bedrijfsdoelstellingen en de IT organisatie. Dit doen wij door het leveren van kennis en expertise op het gebeid van techniek, markt en organisatie. Ondersteuning bij certificering is één van de specialismen van R5-projects.
Meer informatie op
www.r5-projects.nl
Over BIT
BIT is een zakelijke ISP die zich toelegt op geavanceerde maatwerkoplossingen voor elektronische communicatie. Wij helpen organisaties niet alleen de technologie van dit moment maximaal te benutten, maar ook hun risico's op het gebied van netwerken en websites te beheersen. We leveren, in samenwerking met onze partners, onder meer oplossingen op het gebied van snelle Internetverbindingen, koppeling van bedrijfsvestigingen, telewerken, failsafe hosting, e-mail, outsourcing en glasvezel-infrastructuren.
Meer informatie op
www.bit.nl