ISO 27001
voor hosters
Wat is ISO 27001? 1/2
Volgens de norm zelf: “Deze Internationale Norm is opgesteld om te voorzien in eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging.”Wat is ISO 27001? 2/2
Een managementsysteem rondom informatiebeveiliging met als doel het waarborgen van:- Beschikbaarheid: geautoriseerde gebruikers hebben op de juiste momenten tijdig toegang tot informatie en aanverwante bedrijfsmiddelen
- Integriteit: correctheid en volledigheid van informatie en de informatieverwerking
- Vertrouwelijkheid: informatie is alleen toegankelijk voor degenen die hiervoor zijn geautoriseerd
Waarom ISO 27001?
- Bedrijf kan er van groeien en leren.
- Voor wie wil je ISO 27001 gecertificeerd zijn?
- Wellicht is werken conform ISO 27001 al genoeg
- Geeft inzicht in processen
Hoe kan je zelf een start maken?
- Draagvlak binnen directie en management
- Bepaal de scope
- Leg (informatie)bezittingen vast
- Beleg verantwoordelijkheden
- Kies een risicoanalysemethode en voer uit
- Pak de (rest)risico's aan
- Leg vast hoe welke risico's aangepakt zijn
- Of waarom (nog) niet
- InformationSecurityManagementSystem
- Laat je auditen
- Stop niet met verbeteren
Welke diensten van BIT zijn ISO 27001 gecertificeerd?
Alle diensten, onder andere:
- Datacenterdiensten
- Internettoegang
Welke beheersmaatregelen kan BIT mee helpen?
- A9 Toegangsbeveiliging
- A11 Fysieke beveiliging en beveiliging van de omgeving
- A12 Back-up, Monitoring
- A13 Communicatiebeveiliging
- A17.2 Redundante componenten
- 'Systemen zijn ondergebracht in een ISO 27001 en NEN 7510 gecertificeerd datacenter'
- Oriënterend gesprek
A9 Toegangsbeveiliging
Gaat vooral over logische toegang.- Autorisatieschema bij BIT
- Rechtenbeheer op portal
- 2FA op portal
- Geef personele wijzigingen vooral door
A11 Fysieke beveiliging en beveiliging van de omgeving 1/4
Zonering- Hek (2kV - 8kV)
- Buitendeur/tussendeuren -> Toegangspas
- Kluisdeur -> Irisscan
- Logging
- (Afgesloten) rack
- Expedities van BIT zijn gescheiden
- Geopend door medewerkers van BIT
- Zendingen dienen aangemeld te zijn
A11 Fysieke beveiliging en beveiliging van de omgeving 2/4
Beveiliging- Monitoring op alarm -> aanmelding nodig
- Inbraakdetectie
- Twee surveillancediensten
- Camera's met opname
- VEB4* gecertificeerd
- Huisregels
- eten en drinken niet toegestaan
- fotograferen na toestemming
A11 Fysieke beveiliging en beveiliging van de omgeving 3/4
Omgeving/voorzieningen- Waterdetectie
- Redundante stroomvoorziening
- N+1 aggregaten
- 2 UPS-sets per ruimte
- Regeling op temperatuur
- Regeling op dauwpunt (luchtvochtigheid)
- Gecertificeerde bliksemafleiding
- Gecertificeerde brandmeldinstallatie
- Directe doormelding brandweer
- Gecertificeerde gasblusinstallatie
A11 Fysieke beveiliging en beveiliging van de omgeving 4/4
- Stroominfra en koper gescheiden
- Periodieke capaciteitsplanningen
- Monitoring
- Periodieke stroomtesten
- Technisch gescheiden datacentervloeren
- Onderhoud wordt door BIT uitgevoerd of door gespecialiseerde bedrijven
Rechten en plichten hostingproviders
- wet/-regelgeving
- brancheverenigingen
Wet-/regelgeving
- Grondwet
- Telecommunicatiewet
- Zorg- en meldplicht Continuïteit
- Aftapbaarheid
- Algemene verordening gegevensbescherming
- Auteurswet
- Computercriminaliteit (strafrecht)
- Wet elektronische handtekening
- WION (KLIC)
Brancheverenigingen
- NBIP
- Hulp bij aftapplicht
- NaWas (Anti-DDoS-Wasstraat)
- DHPA
- Code of Conduct
- ISPConnect
- Geschillencommisie
- Abuseplatform
- Gedragscode
- ISO 27001 gecertificeerdenoverleg
- Uitwisselen interpretaties
Vragen?
https://www.bit.nl/bit-presentaties