Compliancy standaarden

In de tabel zijn normen, standaarden en richtlijnen opgenomen waaraan cloudproviders aangeven te voldoen. Giarte heeft een aantal van deze standaarden uitgevraagd; ter verduidelijking lees je hieronder een beknopte uitleg van de uitgevraagde standaarden.

Normen van de International Organization for Standardization (ISO) en de International Electrotechnical Commission (IEC)

ISO 9001 en ISO 14001 zijn internationale normen die eisen stellen aan managementsystemen. ISO 9001 doet dit voor kwaliteitsmanagementsystemen en is toepasbaar op iedere organisatie. ISO 14001 stelt eisen aan milieumanagementsystemen en is van toepassing op milieuaspecten waarvan de organisatie heeft aangegeven deze te kunnen beheersen en beïnvloeden. ISO 14001 stelt geen specifieke eisen aan milieuprestaties.

De internationale normen ISO/IEC 27001 en ISO/IEC 27018 stellen eisen aan de informatiebeveiliging. ISO/IEC 27001 bevat de vereisten voor een Information Security Management System (ISMS): een systematische benadering tot het managen van gevoelige bedrijfsinformatie. De norm is toepasbaar op iedere organisatie. ISO/IEC 27018 ziet specifiek toe op beveiliging van persoonlijke gegevens in de cloud. De norm is voornamelijk gericht op cloudproviders die deze gegevens verwerken.

Nederlandse Norm (NEN)

NEN 7510 biedt een nationale norm voor informatiebeveiliging voor de Nederlandse zorgsector. IT-leveranciers kunnen zich volgens NEN 7510 laten certificeren als zij patiëntgegevens verwerken.

Assurance-standaarden en het Service Organization Control Rapport

Service Organization Control Rapporten beschrijven de interne beheersing van bedrijfsprocessen op basis van de daarvoor opgestelde internationale standaarden. De serviceorganisatie stelt zelf het rapport op en laat dit beoordelen door een auditor.

De standaard ISAE 3402 focust specifiek op processen die relevant zijn voor de financiële verslaglegging van de uitbestedende organisatie. In de Verenigde Staten is de ISAE 3402-standaard (met enkele aanpassingen) opgenomen in de lokale standaard SSAE 16, waaraan de merknaam SOC1 is gegeven. Omdat SOC1 hierdoor nagenoeg gelijk is aan ISAE 3402, is in de tabel besloten deze standaarden gezamenlijk weer te geven als ‘ISAE 3402/SOC1’.

SOC2 is het assurance-rapport specifiek gericht op IT-serviceproviders. Qua indeling volgt het de vorm van het ISAE 3402-rapport. In tegenstelling tot het ISAE 3402-rapport, liggen voor het SOC2-rapport de minimaal op te nemen beheersingsdoelstellingen vast. Ook SOC2 is een Amerikaanse merknaam. In Nederland ontbreekt een norm specifiek gericht op IT-serviceproviders. In de praktijk wordt dit soort rapporten in Nederland ook wel uitgebracht onder de algemene assurance-richtlijn ISAE 3000. In de tabel is SOC2 afzonderlijk genoemd.

De service control rapporten kunnen worden opgedeeld in een Type I en een Type II rapport. Type I geeft een beschrijving van de genomen beheersingsmaatregelen op een bepaald moment. Type II geeft een beschrijving van de beheersingsmaatregelen over een bepaalde periode. Wanneer cloudproviders specifiek hebben aangegeven welk type het betreft, dan is dit toegevoegd.

Bekijk hier de profielen van de cloudproviders.