ISO/IEC 27001 certificering

Informatiebeveiliging en het ontwikkelen van software

Met gepaste trots mogen wij u vertellen dat wij ISO/IEC 27001 gecertificeerd zijn. Dit houd in dat wij de benodigde beheersmaatregelen hebben geïmplementeerd die vanuit deze norm opgelegd zijn. Dit was geen kleine klus en omdat de norm een proces van continu verbetering eist zijn wij hier dagelijks bewust mee bezig.

Bij elke software ontwikkelaar zult u termen horen zoals time to market, mpv, iteraties, user experience, scrum team, agile en andere hippe termen. Maar wat als er een datalek is en een deel van uw gegevens komen op straat te liggen. Hoe weet u dat de software ontwikkelaars echt verantwoord en conform procedures ontwikkelen. Hoe weet u dat de code van goede kwaliteit is? U legt een groot deel van uw bedrijfsrisico's bij een externe partij en wij vinden dat u dit met een gerust hart moet kunnen doen.

Algemene verordening gegevensbescherming

Met de komst van de Algemene verordening gegevensbescherming (AVG) wordt het belang van informatiebeveiliging onderstreept. Datalekken moeten worden gemeld en er worden harde eisen gesteld aan het verwerken van persoonsgegevens en omgaan met privacy. Op de AVG wordt toezicht gehouden door de Autoriteit persoonsgegevens.

De AVG stelt het hebben van een ISO/IEC gecertificeerd informatiebeveiligingssysteem niet als vereiste, maar geeft wel nadrukkelijk aan dat certificering een belangrijk hulpmiddel is bij het aantoonbaar maken dat er voldaan is aan de eisen en voorschriften vanuit de AVG.

Kijk voor meer informatie op de website van de NEN.

ISMS

Om te voldoen aan de ISO/IEC 27001 heeft LICO Innovations een Information Security Management System geïmplementeerd.

Het ISMS gaat uit van de PDCA cyclus (Plan, Do, Check, Act) en definieert onder andere meer dan 90 beheersmaatregelen om de kans of impact van risico's te beperken. Het uitgangspunt van het beleid is continu inspelen op ontwikkelingen binnen de markt en anticiperen op mogelijke dreigingen.

Het eerste en belangrijkste punt van het ISMS en de ISO/IEC 27001 is de scope. De scope bepaalt voor welk deel van de dienstverlening en organisatie beheersmaatregelen zijn geïmplementeerd.

  • Beveiligings audits op alle code
  • Automatische testen
  • Alle code wordt bekeken door een tweede persoon
  • Werken met versleutelde systemen
  • Ontwikkel-, acceptatie- en productieomgeving
  • Alle wijzigingen in de code zijn traceerbaar

Scope

LICO Innovations ontwikkelt software in opdracht van u. Deze ontwikkeling valt binnen de scope van ons ISMS. Dit houdt dus in dat wij op een veilige en verantwoordelijke manier ontwikkelen. Om dit te doen hebben wij diverse beheersmaatregelen geïmplementeerd die ervoor zorgen dat onze software veilig en van een hoog niveau is.

  • Ontwikkeling van software
  • Installatie, onderhoud en monitoring van infrastructuur, systeemsoftware en configuratie behorende bij hosting diensten
  • Levering van SaaS diensten

Naast softwareontwikkeling hosten wij ook applicaties op ons eigen hosting platform. Meer informatie hierover vindt u op de website van Bluerail. Het Bluerail hosting platform is opgezet vanuit onze behoefte aan een betrouwbaar hosting platform als Ruby on Rails ontwikkelaars.

Dit hosting platform valt ook binnen de scope van ons ISMS beleid. Dit betekent dat dit ook een ISO/IEC 27001 gecertificeerd platform is. Door het hebben van een hosting platform kunnen wij u een totaaloplossing bieden. Een goede omgeving ondersteunt de applicatie.

Risico's

Wanneer u de ontwikkeling van uw software bij ons uitbesteedt, draagt u dus veel risico's over van uw organisatie aan de onze. U gaat er van uit dat wij veilig ontwikkelen en bijvoorbeeld dat onze laptops versleuteld zijn. In het kader van de ISO/IEC 27001 wil dit zeggen dat u risico's overdraagt. Het blijven uw risico's, maar u vertrouwt ons erop dat wij deze beheersen en onder controle hebben.

Verklaring van toepasselijkheid

Een voorwaarde voor het verkrijgen van een certificaat is het opstellen van een verklaring van toepasselijkheid. De ISO/IEC 27001 definieert 93 beheersmaatregelen die door een organisatie geïmplementeerd moeten zijn. Voorbeelden hiervan zijn het monitoren van de systemen en het bijhouden van audit logs, maar ook het hebben van een ontwikkel-, acceptatie- en productieomgeving. Door het implementeren van deze beheersmaatregelen worden risico's tot een acceptabel niveau teruggebracht.

Toetsing

De implementatie en effectiviteit van ons ISMS en de daarin opgenomen maatregelen, worden jaarlijks getoetst door BSI. BSI is marktleider op het gebied van auditing, certificatie (zoals ISO certificering) en normering voor bedrijven. De toetsing gebeurt door het houden van een audit waarin het beleid van de organisatie getoetst wordt tegen de ISO/IEC 27001 norm. Deze audit wordt jaarlijks herhaald om ervoor te zorgen dat het beleid actueel blijft.

Ons Certificaat! en verklaring van toepasselijkheid