EvoSwitch, het Nederlandse carrierneutrale datacenter dat klimaatneutraal opereert, is door Professor dr. ir. Ronald Paans van Noordbeek IT Audit gecertificeerd volgens de standaard ISO 27001. Het certificeringsproces duurde twee maanden. Voor klanten betekent het dat hun informatie binnen EvoSwitch volgens de strengste normen is beveiligd en dat zij voldoen aan relevante wet- en regelgeving, zoals de Wet op Bescherming Persoonsgegevens.
"ISO 27001 is dé standaard als het gaat om de betrouwbaarheid en veiligheid van IT-processen in een datacenter," zegt Professor Paans. "Daarmee weet je zeker of de integriteit, vertrouwelijkheid én beschikbaarheid van de data is gewaarborgd. Samen met de inmiddels gepensioneerde Professor Dries Neisingh, één van de belangrijkste voorvechters van IT-certificering in Nederland, heb ik reeds verschillende datacenterorganisaties beoordeeld, maar een organisatie als deze heb ik nog niet eerder om de ISO 27001 certificering zien vragen. EvoSwitch groeit als kool, dat is indrukwekkend om te zien, maar tot op heden heb ik het ISO 27001 certificaat alleen afgegeven aan hele grote internationale concerns met een paar duizend medewerkers. Er zijn in totaal ongeveer 50 certificaten voor ISO 27001 in Nederland uitgegeven, EvoSwitch loopt daarin dus voorop."
Interviewen en logboeken controleren
"Wat we binnen EvoSwitch hebben gezien, ziet er hoogst professioneel uit," zegt Paans. "Via bestudering van documenten, via waarneming en door middel van interviews hebben wij geconstateerd dat het binnen EvoSwitch allemaal klopt, zowel de documentatie als de naleving van procedures. Hun IT-processen zijn qua veiligheid conform de marktstandaard voor datacenters ingericht. Dieselgeneratoren moeten bijvoorbeeld één keer per maand gestart worden. Of het daadwerkelijk gebeurt kun je via aantekeningen in logboeken controleren. Daarnaast moet er een juiste functiescheiding zijn, en adequaat toezicht via bepaalde controlehandelingen via een security officer en vanuit de directie. Om maar een paar punten te noemen."
Lastige ISO-vragen
Paans vond het interessant om te zien dat de ISO-beoordeling geen extra druk op de EvoSwitch-organisatie legde. "Voor organisaties kan ISO-beoordeling een lastig proces zijn," zegt Paans. "Je procedures moeten kloppen. Er kunnen lastige vragen worden gesteld. Wij merkten dat onze vragen niet werden gezien als ballast. Bij EvoSwitch was duidelijk al een eigen streven naar hoogste kwaliteit merkbaar. Ze wilden eigenlijk alleen nog maar voor klanten aantoonbaar maken dát ze kwaliteit leveren."
ISO is continu proces
ISO 27001 omvat ook de Code voor Informatiebeveiliging. Dat is een van de meest strikte normen op het gebied van informatiebeveiliging, een norm die ook door de Nederlandsche Bank wordt opgelegd aan financiële instellingen zoals banken en verzekeraars. Elk jaar zal EvoSwitch op alle punten binnen de strenge normering opnieuw worden geaudit. Het betekent dat EvoSwitch in een continu proces de naleving van de genomen maatregelen moet bewaken. "Het houdt onze organisatie scherp," zegt Laurens Rosenthal, Innovation Director van EvoSwitch. "Voor klanten geeft het de zekerheid dat hun data ook in de toekomst veilig is ondergebracht. Die garantie geven we overigens niet alleen via een juiste inrichting van onze informatiebeveiliging, maar ook via de aandacht voor ons organisatiebeleid, de organisatieprocessen, en ons personeel."
