Let bij certificeringen ook op wat de auditor gecertificeerd heeft

Telkens meer hostingbedrijven kiezen ervoor om zich te laten certificeren op basis van industrie normen. ISO 27001 voor informatiebeveiliging is waarschijnlijk het meest populair én belangrijk voor hostingbedrijven. Voor hostingbedrijven die leverancier zijn van bedrijven in de zorg is werken conform NEN 7510 zelfs een voorwaarde om te mogen leveren.

Een certificering is van toepassing op een bepaalde organisatie. Dat wil echter niet zeggen dat de certificering op alles dat de organisatie doet van toepassing is. Waar de certificering op van toepassing is blijkt uit de zogeheten scope die op het certificaat dat door de auditor is verstrekt terug te vinden is.

Stel dat een hostingbedrijf zowel shared webhosting, colocatie en dedicated servers aanbiedt dan kan het zo zijn dat alleen de levering van shared webhosting gecertificeerd is conform ISO 27001. Het is dan leuk dat het bedrijf gecertificeerd is. Echter wanneer je colocatie of een dedicated server afneemt dan is er geen enkele garantie dat er ook bij de levering van die diensten conform ISO 27001 wordt gewerkt.

Het zou zomaar kunnen zijn dat het verschillende afdelingen zijn die volledig los van elkaar opereren en allemaal een compleet eigen werkwijze hebben. Het bedrijf kan dat trots melden ISO 27001 gecertificeerd te zijn. Echter slaat dat met betrekking tot de afdelingen die niet conform ISO 27001 werken dan helemaal nergens op. Daarom is het belangrijk om te kijken of dat de scope op het ISO-certificaat alle aangeboden diensten dekt.

CYSO is één van de hostingbedrijven die voorop loopt in de markt door het hebben van een ISO 27001 certificering. De scope die op het certificaat van het bedrijf staat is: “Management of processes, infrastructure and information systems for the delivery and support of managed hosting services”. Die scope komt precies overeen met wat het bedrijf doet.

Daarnaast heeft CYSO ook twee zusterbedrijven SQR en Fuga Cloud die respectievelijk shared webhosting en IaaS clouddiensten aanbieden. Ook die twee bedrijven zijn ISO 27001 gecertificeerd. Ook voor die twee bedrijven is de scope: “Management of processes, infrastructure and information systems for the delivery and support of managed hosting services”. Dat is wel opvallend want zijn IaaS en shared hosting aan te merken als managed hosting services?

Aan Sven Visser, commercial director van CYSO, SQR en Fuga Cloud, heb ik gevraagd hoe hij daar tegenaan kijkt. Hij liet mij het volgende weten:

Onze redenatie voor deze scope en waar de auditor ons in is gevolgd is dat de laag waarop een klant zijn spulletjes laat landen altijd een beheerde (managed) dienst is. Zet je een website neer bij SQR, dan is de webserver opgenomen in het ISMS, wordt support afgehandeld volgens een genormeerd proces en slingert je wachtwoord niet in het rond. Neem je Iaas af bij Fuga.cloud dan vinden changes op de nodes gecontroleerd en volgens 4 ogen principe plaats etc.

Visser stelt wel dat de huidige formulering van de scope op zijn ISO-certificaat ten aanzien van SQR en Fuga Cloud wel vraagtekens bij klanten kan oproepen. Bij de hercertificering in 2019 zal daarom ook kritisch naar de formulering van de scope worden gekeken. Hoe meer relatie er is tussen de dienstverlening en de scope. Hoe makkelijker het voor klanten te begrijpen is. Daar gaat het volgens Visser om!

Voor SQR en Fuga Cloud zijn er zoveel mogelijk zaken gecombineerd zoals gelijke doorlooptijden, omdat dat makkelijker is voor de medewerkers en er voor beide zusterbedrijven wel eigen continuïteitsplannen en eigen capaciteitsplanningen zijn.

Verder wijst Visser op het feit dat het bij ISO-certificeringen verstandig is om nóg verder te kijken dan alleen naar de scope op het certificaat. Daarbij wijst hij op de Verklaring van Toepasselijkheid waaruit blijkt welke controls door bedrijven zijn uitgesloten en niet van toepassingen vinden. Op die manier wordt een nog beter beeld verkregen of wat door de auditor gecertificeerd heeft ook is wat het bedrijf levert.

mr. Arnout Veenman
Journalist ISPx.nl

Dit bericht is geplaatst door ispx. Maak dit favoriet permalink.