PDA

Bekijk Volledige Versie : Belang ISO 27001



Hostingvragen
19/03/14, 10:38
Ik ben benieuwd hoe belangrijk u een ISO 27001 certificaat vindt voor uw bedrijf en of er eventueel nog andere certificaten zijn die u van belang vindt voor uw organisatie?

ju5t
19/03/14, 11:07
Want je doet onderzoek naar <vul in>? Iets meer achtergrond informatie is wel op zijn plaats.

t.bloo
19/03/14, 13:08
Ik mis de optie "weet niet".

patrickekkel
19/03/14, 13:20
Ik persoonlijk zou eerder voor de ISO 9001 gaan

Rik
19/03/14, 16:44
ISO 27001 of 27002 zijn totaal verschillend/niet relevant ten opzichte van bijv. een benoemde 9001....
Denk ook dat er hier maar zeer weinig (tot geen) leden zijn die deze ISO's behalen (door hun bestaande bedrijfsvoering).

vDong
19/03/14, 20:28
Het grootste probleem dat ik zie is dat dit soort certificaten checkt of de procedures correct zijn. Niet of er werkelijk uitgevoerd wordt wat er op papier staat.
Overigens is het bij 2700X mogelijk vrij wel alles uit te sluiten en niet mee te nemen en toch correct door de audit te komen.

Als certificaten en sales beloftes echt waarde hadden hadden we vast geen diginotar ellende gehad.

Domenico
19/03/14, 21:11
Is het niet de overheid die zich hiermee bemoeit? ;)

Rik
20/03/14, 14:05
Certificaten zeggen nog geen bal, vaak zijn het momentopnames, in de meest ultieme situatie ook nog.
Zolang de afgesproken zaken niet worden uitgevoerd is het een schijnmaatregel.

Daar gaat het ook fout, er is geen datacenter dat geen map met protocollen heeft, maar naleven (en dan BLIJVEN naleven), dat doen er maar weinig. Gemak dient de mens. Voor alles potdicht, maar de deur naar de buitenplaats om te roken wordt opengehouden met een houtje tussen de deur... beetje dat idee ;)

Domenico
20/03/14, 14:35
Mensen gebruik de POLL nu eens, het is anoniem!

Rik
20/03/14, 14:54
Nondeju!

;)

mkd
28/03/14, 21:35
Een ISO27001 certificering of NEN7510 kan bijzonder interessant zijn vanuit je product portfolio. Als je je meer op consultatieve / system integrator achtige hosting oplossingen richt kun je hiermee aantonen dat je de keten van services kan leveren. Je maakt meer marge op je producten maar het vraagt ook meer qua onderhoud. Als je een product georiënteerde (aka mijn VPS kost 10 euro per maand) strategie volgt en je inkomen per klant is lager dan 150 euro per maand dan is het idd zonde van je geld. 9001 is een leuke basis maar voegt inderdaad bar weinig toe aan je commerciele en technische proces.

PimEffting
30/03/14, 17:26
Het grootste probleem dat ik zie is dat dit soort certificaten checkt of de procedures correct zijn. Niet of er werkelijk uitgevoerd wordt wat er op papier staat.
Dit is niet juist en een misverstand bij velen.
Het is verplicht om intern en extern dit door middel van een audit te waarborgen.
Ieder jaar komt er 1 tot 2 dagen iemand langs om controles uit te voeren.
En dat gaat best wel ver: we moeten echt op papier (of digitaal equivalent) aantonen dat we doen wat in ons ISO plan staat.
Doormiddel van steekproef, incident rapportages, (intern) geconstateerde afwijkingen en het continue verbeteren plan wordt dat echt wel in de gaten gehouden.
Doe je dat niet, dan vervalt je certificering.

phreak
31/03/14, 10:21
Ik heb nee gestemd, ik was eigenlijk een beetje in dubio om Ja te zeggen maar ik hou het op nee.

Een ISO normering is fijn/verplicht/pré voor zorginstellingen bijv. maar bij ons bedrijf zou het juist de veiligheid omlaag halen, omdat onze procedures en normen een stuk strakker cq. uitgebreider is dan de ISO normering voorschrijft en ook op die manier nageleefd wordt (anders heeft het geen nut).

Thijzzz
31/03/14, 10:32
phreak,

De ISO27001 stelt enkel dat je voor een hele lijst van zaken de boel op orde moet hebben, en de 27002 is een richtlijn die je kunt volgen, waardoor het voor een auditor eenvoudig is om compliance vast te stellen. Als jij het echter anders doet, dan heb je gewoon meer uit te leggen. Doe je het allemaal goed, dan kun je het uitleggen,en is certificering een formaliteit.

Veel van je potentiele klanten skippen je bij voorbaat al als je 27001 niet hebt.
Met zoveel aanbod, ga jij wachten op die klant die het verhaal achter jouw verhaal zoekt?

Ik denk dat het voor elk dataverwerkend bedrijf belangrijk is op de 27002, of een vergelijkbare checklist, te houden tegen de bestaande werkwijzes en procedures, en waar mogelijk met een kleine aanpassing matchend te krijgen.

Het is niet te doen voor een zolderkamer hoster om dit allemaal in praktijk te brengen, maar als je bedrijf volwassen genoeg is voor een OR, dan is het ook volwassen genoeg voor een ISO norm. ;-)

Thijzzz
31/03/14, 10:36
Certificaten zeggen nog geen bal, vaak zijn het momentopnames, in de meest ultieme situatie ook nog.
Zolang de afgesproken zaken niet worden uitgevoerd is het een schijnmaatregel.

Daar gaat het ook fout, er is geen datacenter dat geen map met protocollen heeft, maar naleven (en dan BLIJVEN naleven), dat doen er maar weinig. Gemak dient de mens. Voor alles potdicht, maar de deur naar de buitenplaats om te roken wordt opengehouden met een houtje tussen de deur... beetje dat idee ;)

Hm. Daarvoor kan een klant dus een audit komen doen bij je, waarmee er een extra moment opname is, en deze audits ook afgesproken 2 maal per jaar onverwachts mogen doen.
Als je dan afspreekt dat je het audit rapport weer commercieel mee mag nemen in je bedrijfsvoering, dan is dat een goede basis voor een verkoper om jouw diensten aan te prijzen.

Let er overigens op, dat een Audit ook een Security risico is, dus door te stellen dat iedereen zomaar mag komen auditen, zak je direct voor je recht op het certificaat. ;-)

Rik
31/03/14, 13:35
Hehehe, voor alle duidelijkheid, het is hier niet eens mogelijk om onverwachts binnen te komen ;)
Staat in de ISO :D

Maar dat terzijde, een ISO is immers sowieso niks waard zonder audits.

Netbulae
01/04/14, 11:56
Dit is niet juist en een misverstand bij velen.
Het is verplicht om intern en extern dit door middel van een audit te waarborgen.
Ieder jaar komt er 1 tot 2 dagen iemand langs om controles uit te voeren.
En dat gaat best wel ver: we moeten echt op papier (of digitaal equivalent) aantonen dat we doen wat in ons ISO plan staat.
Doormiddel van steekproef, incident rapportages, (intern) geconstateerde afwijkingen en het continue verbeteren plan wordt dat echt wel in de gaten gehouden.
Doe je dat niet, dan vervalt je certificering.

Tja en lijkt al het papier in orde dan is er niets in de hand. Ik heb ooit een zooi procedures moeten schrijven voor het ISO certificaat maar daar was alleen de 1e pagina van ingevuld, de rest was blanco.
Niemand ooit gezien.

Verder vertelde de auditor dat het wel even duurt voordat je je certificatie weer kwijt bent. Je krijgt eerst een lijst met verbeterpunten, het volgende jaar kijkt hij hiernaar en als het nog niet goed is moet het toch beter. Weer een jaar later zou pas een eventueel intrekken van het certificaat ter sprake komen als men echt nalatig is.