ZBC Kennisbank

ISO 27001 certificering voor SaaS leveranciers nu simpel

 

Juist SaaS-leveranciers worden in belangrijke mate geconfronteerd met klanten die eisen dat zij een ISO 27001 certificaat hebben. Maar het verkrijgen van dit certificaat is tegenwoordig niet zo ingewikkeld meer.

Nu de High Level Structure (HLS) is ingebakken in de ISO 27001 norm, kunnen SaaS-leveranciers heel scherp het toepassingsgebied van hun ISO 27001 kwaliteitssysteem afbakenen. Deze HLS stelt, dat de scope bepaald moet worden op basis van een stakeholders analyse en een risicobeoordeling in lijn met ISO 31000. Juist SaaS-leveranciers die de productie omgeving hebben ondergebracht in een datacenter, kunnen hier optimaal gebruik van maken. Zij zijn immers nauwelijks partij in de operationele informatieverwerking.
Hoofdstuk 4 van de norm gaat geheel over de context van de organisatie. In par. 4.1 worden alle relevante onderwerpen bepaald, die invloed hebben op het bereiken van de doelstellingen van de organisatie. Simpel gezegd, hier moeten de bedrijfsrisico’s geïnventariseerd worden en de impact die zij hebben op het bereiken van de doelstellingen. Hierbij wordt verwezen naar ISO 31000, waar een risico wordt gedefinieerd als zowel een kans als een bedreiging.
Vervolgens moet in  par. 4.2 een inventarisatie gemaakt worden van de externe en interne stakeholders en de eisen en verwachtingen van deze stakeholders met betrekking tot de organisatie. Uiteraard is dit inclusief relevante wet- en regelgeving.
In par 4.3 wordt op grond van de uitkomsten van par. 4.1 en 4.2 bepaald wat het toepassingsgebied van het managementsysteem is. Anders gezegd, hier wordt de scope van het managementsysteem afgebakend, rekening houdend met bijvoorbeeld welke risico-houdende processen de organisatie heeft uitbesteed.

Stakeholder analyse

Het is vaak handig om te beginnen met de stakeholder analyse. Meestal komt dan sowieso een aantal risico’s naar voren. En dat is een goede aanpak. Voor een SaaS-leverancier is dit doorgaans een eenvoudige zaak.
Welke stakeholders een rol spelen, is in het volgende plaatje weergegeven:

Dia1

De meest relevante stakeholders zijn de klanten en de leveranciers. Zij zijn betrokken bij de primaire dienstverlening. Ook de klant van de klant is vaak belangrijk. Zij zijn eveneens te beschouwen als een stakeholder, want meestal worden persoonsgegevens vastgelegd (in het CRM-systeem, het planningssysteem, de applicaties voor de zorgen enzovoort.) En uiteraard moet u voldoen aan wettelijke eisen. Natuurlijk is ook uw reputatie bij (potentiele) klanten relevant. Dat kunt u afdekken door een ISO 27001 certificaat. Daarom spelen ook  de toezichthouders hierop een rol. Ook concurrenten zijn natuurlijk belangrijk, maar zij hebben weinig invloed op uw informatiebeveiliging. Veel belangrijker zijn uw briljante programmeurs, die er steeds weer in slagen de verwachtingen van de klant te overtreffen. Ook de criminaliteit is relevant voor u. Uw applicatie moet zo robuust zijn, dat deze niet gemakkelijk is te hacken. En met het datacenter en minimaal twee leveranciers van een datacommunicatie moeten goede afspraken gemaakt worden over redundantie  en beveiligde verbindingen. En als u een ruimte huurt, dan bent u vaak afhankelijk van de verhuurder van het pand voor de fysieke beveiliging van het netwerk en de verbindingen.
Als we vervolgens inzoomen op uw risico’s, dan zijn de beschikbaarheid, de integriteit en de vertrouwelijkheid van de informatieverwerking van belang. Maar eigenlijk staat u daar grotendeels buiten. Want daarbij  gaat het om de productieomgeving en die staat in het datacenter. Dat de ontwikkel- en testomgeving zich binnen uw muren bevindt, is niet spannend, want hierin bevinden zich geen gegevens van de klant. U komt alleen in de productieomgeving, als u een nieuwe release van de software installeert en als u bezig bent met incidentafhandeling. Voor deze acties kunt u aangemerkt worden als bewerker van persoonsgegeven en dus zult u een bewerkersovereenkomst moeten sluiten met uw klanten. Uw klant is verantwoordelijk en u moet voldoen aan de eisen, die in de bewerkersovereenkomst worden gesteld. Ook met het datacenter zult u iets dergelijks moeten regelen. Daarmee zijn de aspecten van wet- en regelgeving en reputatie niet uw probleem, maar dat van de klant, die tenslotte de software heeft geaccepteerd.
Van uw medewerkers moet u geen probleem maken. Wizkids hebben doorgaans een hekel aan procedures en verboden. Dus voorkom dat uw eigen KA-omgeving u dwingt om deze toch te gebruiken. Werk in de cloud of beperk de scope van uw kwaliteitssysteem tot alleen uw dienstverlening.

Dit alles brengt ons tot het volgende plaatje van uw relevante organisatorische context en dus van ook de scope van uw managementsysteem voor informatiebeveiliging:

Dia2

Dit schema wordt vervolgens uitgewerkt in een tabel die de scope verder beschrijft en die de aanzet geeft tot beleidsuitgangspunten en de prioritering.

Business risk assessment

Onderstaande tabel is primair bedoeld om een beeld te geven en gaat dus niet alleen over security. Deze tabel moet tenslotte ook bruikbaar zijn voor ISO 9001 of ISO 22301. Ook zijn niet alle punten volledig uitgewerkt. Verder is bewust gekozen voor informele teksten om te benadrukken dat ook auditors meer letten op de werking van het kwaliteitssysteem dan op de beschrijving. Het managementsysteem is er primair voor de organisatie en niet voor de auditors.

Onderwerp Omschrijving Kans/Risico Maatregelen
Dienst markt combinaties Ontwikkelen software Werkt niet als bedoeld Testen; incidentafhandeling
Hergebruik van modules Standaards ontwikkeling
Organiseren leveringsproces Beschikbaarheid faciliteiten Uitbesteding en redundantie
Juistheid informatieverwerking Monitoren en toezicht:
Vertrouwelijkheid van de informatie Toegangsbeveiliging; bewerkersovereenkomst
Verdien-model Marge op uitvoeren dienstverlening Betere reputatie Zelf investeren in nieuwe toepassingen; vlekkeloze uitvoering; certificeringen
Hoge investeringskosten Goede financiers met LT-visie
Kostenbeheersing Slim inkopen; hergebruik; efficiency,
Meer recurring business Klantwensen vertalen naar aanvullende service levels
Leverings-proces Opstellen offertes Niet effectief; klant koopt niet Aansprekende proeftuin; referenties
Niet efficiënt; hoge offerte kosten Hergebruik; generaliseren proeftuin
Afsluiten contracten Onvoldoende marge Service levels zoveel mogelijk standaard
In strijd met wet en regelgeving  
Ontwikkelen software Werkt niet als bedoeld  
Hergebruik van software  
Productie Beschikbaarheid faciliteiten  
Juistheid informatieverwerking  
Vertrouwlijkheid van de informatie  
Incidentafhandeling Penalty’s voor niet nakomen afspraken  
Verbetering proces  
Interne processen Risico management; kwaliteitsbeheer Tevreden klanten  
Normen en compliancy  
HRM Tevreden medewerkers  
Cruciale bedrijfs-middelen Creatieve programmeurs Willen niet (meer) werken voor de organisatie  
Toeleveranciers Komen afspraken niet goed na  
Kwaliteitssystemen Basis voor leverbetrouwbaarheid  
Basis voor efficiency  
Communicatiemiddelen Uitval communicatie ernstig, zeker tijdens projecten.  
Intellectual property Basis voor continuïteit levering  
Concurrentie  
Omgeving Klant van de klant Klaagt bij de klant  
Is niet altijd rationeel  
Toezichthouders Non compliancy  
Inbreuk WBP  

 

In veel gevallen worden drie kolommen toegevoegd aan deze tabel, waarin voor ieder risico wordt aangegeven wat de kans op voorkomen is (H/M/L) en wat de impact hiervan is (H/M/L) om op grond van deze twee te komen tot een classificatie van het risico.
De interne processen zijn door de uitbesteding van de productieomgeving van ondergeschikt belang  en hebben dus nauwelijks impact hebben op het managementsysteem met zijn beheersmaatregelen. Wel cruciaal zijn de processen kwaliteitsbeheer (inclusief testen), contractbeheer, wijzigingsbeheer,  incidentbeheer en probleembeheer.

Next steps

Tot dusver was de invulling van het traject generiek voor alle managementsystemen. Vanaf dit punt geldt een meer specifieke aanpak voor in dit geval informatiebeveiliging conform ISO 27001 (of NEN 7510). Hiervoor kan een pragmatische aanpak gebruikt worden zoals beschreven staat in ‘Pragmatische aanpak informatiebeveiliging’. Hierin staat ook aangegeven, hoe ZBC u hierbij kan begeleiden.

Voor het vervolg is het goed om onderscheid te maken tussen acties, nodig voor de certificatie zoals die beschreven zijn  in het artikel ‘Herziening ISO 9001: High Level Structuur (HLS)’ bij het hoofdstuk ‘Verplichte documenten’. De andere verbeteracties kunnen ook gepland worden na de audit.
Als u dit zelf wilt oppakken, dan nodigen we u graag uit voor de ‘Cursus Informatiebeveiliging conform ISO 27001, 27002 of NEN 7510’. Hierin leert u hoe u stap voor stap dit traject op pragmatische wijze kunt doorlopen.

DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 11 december 2014


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *