ISO27017 gecertificeerd zoals AWS – wat betekent dat?

amazon_web_services_logo_awsMet de nodige PR ophef heeft AWS laten weten nu ook het ISO27017 te mogen voeren. Dat zou betekenen dat het nu ook aan specifieke cloud-eisen kan voldoen die niet met een reguliere ISO 27002 worden beschreven en afgedekt. De hele wereld kon dit heugelijke feit op 30 november al bij AWS op het blog lezen. In Europa werd het bericht pas op 2 december verspreid.

Wat moet je daarvan denken? Belangrijk lijkt dat ook de AWS zones Frankfurt/Duitsland en Ierland ISO27017 gecertificeerd zijn. Daarmee kunnen gebruikers van die locaties de eigen afnemers laten zien dat nog meer zekerheid geboden kan worden. Alleen wat voor zekerheid, wat stelt ISO27017 nu precies voor, waar zit het verschil met ISO27018 of ISO27001/27002 dat als verplichte voorwaarde wordt genoemd?

Als je daarnaar op zoek gaat zul je weinig echt makkelijk leesbare informatie tegenkomen. De ISO27017/18 is daarvoor nog te nieuw. Veel partijen kunnen het certificaat nog niet laten zien en evenzo opvallend: er zijn niet veel bedrijven die het certificeringsproces aanbieden. Iedereen die zich in het onderwerp heeft verdiept legt de link tussen de EU en deze nieuwe ISO. Het is de EC (toen nog in de persoon van Neelie K.) die de markt in 2012 opriep te komen met meetbare kwaliteitscriteria voor clouddiensten. De ISO organisatie pakte de handschoen op (ook om te voorkomen dat de EU met een eigen keuringsdienst zou komen) en heeft in een paar jaar tijd ISO27017 en ISO27018 klaar voor uitrol gemaakt. Een prestatie die er niet om liegt als je weet hoeveel overleg en papierwerk daarbij komt kijken. Wat er nu ligt is ISO27017 die voortborduurt op de ISO27002 – deze gaat vooral om cloud specifieke veiligheidscontroles. Je kunt zeggen: het is een verduidelijking op punten van ISO27002. Op dezelfde wijze kun je ISO27018 zien: deze focust op de PII (Personally Identifiable Information), iets dat tijdens het opzetten van ISO27002 nog amper aandacht genoot.

En dan natuurlijk de vraag: wat schiet je ermee op? Antwoord op die vraag: geen idee. Deze ISOs zijn gewoon nog te nieuw. De eersten die er mee zwaaien kunnen in principe de markt afromen of hopen dat het bij aanbestedingen een knock-out criterium wordt. Maar dat zal snel leiden tot klachten, omdat dan van een echte open aanbesteding geen sprake is. Dat het een Amerikaans bedrijf is dat nu schermt als ongeveer de eerste te voldoen aan de nieuwste voorschriften rond PII is trouwens een beetje bizar. Het afschieten van Safe Harbor zorgt er in ieder geval voor dat daar extra vragen over zullen volgen.

Tl;DR Klinkt leuk ISO27017 en 27018, maar voorlopig zijn er te weinig aanbieders, auditors en gerichte vragen uit de markt om te kunnen inschatten welke problemen dit oplost of voorkomt.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.

Laatste artikelen