Microsoft meldt dat zijn cloudplatform Windows Azure aan de hoogste standaarden voor informatiebeveiliging voldoet. Dat komt omdat het beveiligingssysteem van Azure de ISO-certificatie 27001:2005 heeft gekregen van de British Standards Institute (BSI). Microsoft hoopt dat klanten hierdoor sneller voor zijn cloud computing-oplossingen kiezen.
De International Organization for Standardization (ISO) 27001-certificering is gegeven voor de Information Security Management System (ISMS)-norm die Microsoft Windows Azure hanteert. Het betreft onderdelen voor ontwikkeling en ondersteuning voor dataopslag, virtuele netwerken en virtuele machines (vm's). De certificering bevestigt dat Windows Azure voldoet aan internationale beveiligingstandaarden, aldus Microsoft.
De certificering geldt ook voor de Windows Azure Management Portal- en de Windows Azure Service Management-onderdelen. Binnenkort moet de ISO 27001-certificering gaan gelden voor SQL Azure-, Service Bus-, Access Control-, Caching- en de Content Delivery Network (CDN)-oplossingen die onderdeel uit maken van het cloudplatform van Microsoft.
Office 365
Microsoft heeft in december 2011 zijn cloudapplicatiepakket Office 365 verbeterd op het gebied van beveiliging en privacy. Hierdoor voldoet Office 365 aan databescherming-, compliance- en privacyregels van de Europese Gemeenschap, aldus Microsoft.
ISO 27001
ISO 27001 is een ISO-standaard voor informatiebeveiliging. De standaard bestaat uit Deel 2 van de BS 7799, de standaard waarin wordt beschreven hoe Informatiebeveiliging procesmatig ingericht zou kunnen worden, om de beveiligingsmaatregelen uit ISO/IEC 17799 te effectueren. In Nederland is de standaard vastgesteld door Nederlands Normalisatie-instituut (NEN) als de NEN-ISO/IEC 27001:2005-norm. De standaard is verplicht gesteld voor Nederlandse overheden door het College standaardisatie. Deze internationale norm is van toepassing op alle typen organisaties, zoals commerciële ondernemingen, overheidsinstanties, non-profitorganisaties. De norm specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS).
Dit is de trend van 2012. Grote cloud aanbieders zullen zo snel mogelijk de voor klanten belangrijke certificeringen binnenhalen. ISO27001:2005 is mooi, maar moet wel aangevuld worden door een SAS 70 Type II, dan weet je ook redelijk zeker dat iemand anders dan Microsoft vind dat de maatregelen goed zijn doorgevoerd.
André Salomons zal deze ontwikkeling zeker verwelkomen.
@Henri, als het om communicatie van beveiliging (cloud security)gaat geeft Microsoft het goede voorbeeld.M.i. zouden alle aanbieders van cloud toepassingen verplicht moeten worden om dit te communiceren naar hun klanten en potentiële klanten.
Ik heb me niet de moeite genomen om ISO27001:2005 even door te lezen want al die kantoorautomatisering al dan niet in de cloud is niet zo bijster spannend, maar in die spec staat vast niet beschreven dat de cloud aanbieder bij de minst of geringste interesse vanuit de Amerikaanse overheid deze gelijk toegang moet bieden tot alle data.
Bepaald geen prettig idee als je een internationaal opererend bedrijf hebt.
@Pascal, Windows Azure kantoorautmatisering? Dat is echt nieuw voor mij….
Verder moet je onderscheid maken tussen data beveiliging(ISO 27001 en SAS 70II) en toegang tot data door overheden.In het laatste geval spelen locale en supra nationale wetgeving een rol.
Tot nog toe is het bij wetgeving altijd zo geweest dat deze pas volgt nadat een bepaalde situatie die wetgeving behoeft zich heeft voorgedaan.
Ook belangrijk is om te weten waar je nu precies bang voor bent: toegang tot jouw data door overheden(patriot act en daar doe je weinig tegen), of toegang tot jouw data door onbevoegden(voor een zeer groot deel te beveiligen met genoemde ISO en SAS.