Door Anoniem: De scope van het ISO27001 certificaat staat OP het certificaat zelf
Maar vaak nogal beknopt. Bij een ISO 27001 certificaat hoort een SoA (Statement of Applicability) oftewel Toepasselijkheidsverklaring of VVT (Verklaring van Toepasselijkheid). Daarop hoort te zijn vermeld
welke van de "controls" uit de Annex van ISO27001 (met meer details uitgeschreven in ISO27002), eventueel aangevuld met eigen controls, van toepassing zijn geacht. Vaak hebben organisaties ook een uitgebreider scope-statement (separaat document), maar dat kan zakelijk-vertrouwelijke informatie bevatten (partners, toeleveranciers, specifieke klanten etc.) en krijg je daarom niet altijd.
In theorie kun je ISO 27001 gecertificeerd worden als je netjes hebt aangegeven dat je niets aan beveiliging doet. De betere auditors gaan daar niet mee akkoord, maar brievenbusfirma's mogelijk wel. Desgewenst kan ik wat meer vertellen over de voor- en nadelen van ISO27001.
Als een hoster een recent (!) ISO 27001 certificaat + SoA (met veel "van toepassing", zo mogelijk met korte uitleg hoe geïmplementeerd en/of waarom niet van toepassing), voorbeeld SLA's en een verwerkersverklaring op de plank heeft liggen (i.p.v. je schaapachtig aankijken en/of geïrriteerd reageren als je daarom vraagt), heb je al een redelijke indicatie dat zij hun zaakjes voor elkaar hebben.
Begin vorig jaar heb ik zelf naar hosting-providers gekeken en kwam bij True.nl uit (ik ben nog geen klant en heb niks met ze te maken). Zij hosten ook Tweakers en hun website maakt een professionele indruk. Ze zijn echter ongetwijfeld niet de goedkoopste. Voor het ISO27001 certificaat en VVT zie
https://www.true.nl/iso-9001-en-27001-hosting/. Maar nogmaals, ik heb zelf geen ervaring met hen.
Ik ben overigens ook benieuwd naar ervaringen van anderen met deze en andere security-gecertificeerde hosters!