Hosting z certyfikatem ISO 27001

[itomek]

ISO 27001 to międzynarodowa norma, która określa systemy zarządzania bezpieczeństwem informacji. Mimo dużego znaczenia dla ochrony przetwarzanych informacji, niewiele polskich firm hostingowych, w sposób potwierdzony niezależnym audytem, właściwie zidentyfikowało zagrożenia dotyczące ich działalności i wprowadziło odpowiednie środki zapobiegawcze w celu eliminacji potencjalnych ryzyk. 

 

Ci, którzy podjęli się certyfikacji ISO 27001 wiedzą, że jest to zadanie bardzo złożone, wymagające dużych nakładów pracy. Korzyść z posiadania ISO 27001 można jednak wprost porównać do istnienia właściwych procedur w lotnictwie. W sytuacji niestandardowej, piloci dysponują odpowiednimi schematami postępowania, które powstały dzięki licznym doświadczeniom i obserwacjom. Podobnie jest w przypadku tak istotnej dla dzisiejszego świata działalności, jaką są usługi hostingowe. Oczywiście procedury - procedurom nie równe, dlatego ISO 27001 jest przyznawane tylko na określony czas, po wnikliwym audycie w danej firmie. 

 

Notka od administracji: usunięto link do bloga nazwa.pl

[oui]

Cytat

Mimo dużego znaczenia dla ochrony przetwarzanych informacji, niewiele polskich firm hostingowych, w sposób potwierdzony niezależnym audytem

Nie ma dużego znaczenia, firmy równie dobrze mogą posiadać odpowiednie procedury i nie musi być to potwierdzone audytem/certyfikatem. Oczywiście dla większości dużych klientów jest to must have w pewnych branżach ale dla hostingu za 500zł rocznie, litości.

 

Druga sprawa że koszt certyfikacji jest duży i w tej branży ma znikome uzasadnienie skoro tak mało klientów wymaga tej certyfikacji. 

 

Ale w takim razie czekam na SOC 2 w nazwa.pl

 

Cytat

Korzyść z posiadania ISO 27001 można jednak wprost porównać do istnienia właściwych procedur w lotnictwie.

Haha tak tak, w takim razie jak nazwa.pl do tej pory potrafiła działać jako firma? Weź przestań pisać takie głupoty proszę Cię. Zbiór reguł kto, gdzie i jak ma dostęp do informacji wewnątrz firmy nijak ma się do lotnictwa.

[itomek]

ISO 27001 i SOC 2 są ze sobą często porównywane. Fakt jest taki, że SOC 2 bardziej kojarzony z firmami w USA, a ISO 27001 z firmami w Europie. ISO 27001 koncentruje się na systemie zarządzania bezpieczeństwem informacji, stawiając nacisk na ochronę danych, a SOC 2 w tym zakresie jest mniej rygorystyczny. Oczywiście dobrze jest, aby firma miała jeden z tych standardów, który - moim zdaniem nie jest już to tak kluczowe, bo zależy od skali i zakresu działalności firmy.

 

 

[theqkash]

@itomek czy sugerujesz tym artykułem, że firmy które nie uzyskały takiego certyfikatu mogą być mniej warte uwagi, a klienci mają zapewnioną mniejszą niezawodność czy ogólne bezpieczeństwo działania usług?

[itomek]

Wszyscy wiemy, że firma, która chce otrzymać certyfikat ISO 27001, musi przejść niezależny audyt. Jego pozytywny wynik potwierdza wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji, co jednocześnie zdejmuje z użytkowników certyfikowanego hostingu konieczność samodzielnej weryfikacji, czy usługa w sposób właściwy jest przygotowana do ochrony danych, jakie za jej pomocą są przetwarzane. Wybór hostingu z certyfikatem ISO 27001 w pewnym stopniu pokazuje więc, że także jego użytkownik, w stosunku do swoich klientów, stosuje najlepsze praktyki, aby zapewnić bezpieczeństwo informacji. 

 

Podejmując decyzję o wyborze usługodawcy hostingowego rozważa się wiele czynników. Warto przypominać, że istotne są nie tylko parametry i technologia, ale również podejście usługodawcy do zarządzania ryzykiem, przyjęte praktyki w zakresie kontroli bezpieczeństwa czy awaryjne plany na wypadek zaistnienia incydentów.

[Pawel_15]

Tylko czy przeciętny klient zanim kupi usługę w danej firmie to analizuje dokładnie wszystkie certyfikaty, ISO, SOC etc? Bo mnie prawdę powiedziawszy by się na pewno nie chciało tego robić Kupuję, płacę, ma stabilnie działać, nie ma być afer z wyciekiem danych, nie ma być afer że padło i już nie wstało, ma być kompetentny i szybki support. Po prostu ma działać stabilnie, szybko i bez zawracania głowy innymi aspektami. A czy firma ma ISO takie czy ISO inne? ISO z tego? Dopóki nie jestem agendą rządową która musi mieć spełnione szeregi warunków to ilość certyfikatów raczej mnie nie interesuje. A przecież agenda rządowa czy inne ministerium nie kupi zwykłego konta www

[itomek]

Firmy hostingowe poddając się certyfikacji ISO 27001 lub równorzędnej udowadniają swoim klientom, że zarządzają ryzykiem  w sposób właściwy i mają gotowe plany na wypadek zaistnienia incydentów. Klient nie musi wierzyć komukolwiek "na słowo", bo weryfikację w tym zakresie przeprowadza niezależny audytor. To, czy klient ostatecznie skorzysta z usług firmy legitymującej się certyfikatem, czy wybierze podmiot niecertyfikowany, zależy oczywiście od niego samego. Tym niemniej, moim zdaniem warto mówić o certyfikatach, nawet jako o parametrze usługi, tak samo, jak parametrem jest pojemność, transfer czy SLA, które dana firma oferuje. Oczywiście, rynek hostingowy nie jest regulowany, więc to od klientów ostatecznie będzie zależało, czy będą oczekiwać od swoich usługodawców potwierdzenia istnienia u nich właściwych systemów zarządzania bezpieczeństwem informacji.

[Pawel_15]

Z tymi ISO to jest trochę jak z maturą - niby masz poświadczenie od samego ministra-tornistra że przeczytałeś tekst ze zrozumieniem ale praktyka codzienna...

Dla mnie osobiście trąbienie o tych ISO to taka trochę próba przykrycia innych niedoskonałości. Na przykład w ofercie która no nie ukrywajmy nie urywa i gdzie za wszystko trzeba płacić gdzie u wszystkich innych jest to w pakiecie. I to wciskanie Anycastów i innych anyway'ów do domen chociaż większości chce podpiąć i mieć spokój. OK macie taki cert, spełniacie jakieś tam wymogi, przyszła ładna pani z ładnym panem na audyt i wystawili wam kwitek że spełniacie wszystkie niezbędne wymogi. I możecie takim kwitem pochwalić się klientowi. Tylko jak już wspomniałem - dopóki nie jestem agendą rządową czy innym ministerium to tak naprawdę wisi mi to czy macie ISO 27001, SOC czy ISO 8859-2. Usługa ma działać stabilnie bez poświęcania jej dodatkowego czasu bo coś.

Robiłem swego czasu na DC jednego z banków. Przyszli audytorzy, trzeba było doprowadzić wszystko do stanu regulaminowego, było szybkie czytanie instrukcji co i jak powinno być. TIER III czy coś koło tego przyznany, życie wróciło do swojego nieregulaminowego porządku. Mógłbym wymieniać kilka innych przypadków z zupełnie innych branż. Audyt to audyt. Na audytach wszystko jest wzorowe. A jak pójdą to się ściąga krawat i wraca do codzienności

[itomek]

Nie wiem, jak to było w przypadku procesu, w którym uczestniczyłeś, ale jeżeli w firmie jest ISO 27001, to na naszym przykładzie powiem, że nie da się funkcjonować inaczej, niż zostało to zapisane w procedurach. Są odpowiedni ludzie (stanowiska), którzy pilnują przestrzegania procedur, wszystko musi przebiegać zgodnie z SZBI. Każdy z kilkuset naszych pracowników ma obowiązek pracować w ten sposób, jakiekolwiek odstępstwo jest bardzo łatwe do wykrycia. ISO 27001 nie jest przyznawane na stałe, między procesami recertyfikacji w każdym roku są audyty kontrolne.

[theqkash]

2 godziny temu, itomek napisał(a):

mają gotowe plany na wypadek zaistnienia incydentów

 

Wszystko spoko, ale tematy szeroko pojętego bezpieczeństwa nie wynikają tylko z aspektów uwzglednionych w tym certyfikacie. Fajnie że jest pokrycie w tej kwestii, ale warto też pamietać że:

 

- bezpieczeństwem jest także zabezpieczenie przed całkowitą utratą danych i/lub uszkodzeniem fizycznej infrastruktury, a jak wiadomo pewna duża i znana firma posiadająca certyfikaty ISO doświadczyła spłonięcia serwerowni i okazało się że pewnych procedur na to nie było lub nie były wzięte pod uwagę, a serwerownia miała pewne problemy konstrukcyjne/techniczne które się przyczyniły do sytuacji - są ku temu stosowne raporty i myślę że każdy wnioski wyciągnie jeśli będzie chciał  ,

- bezpieczeństwem z punktu widzenia klienta jest także to, czy operator dysponujący taką certyfikacją (lub nie dysponujący) nie wprowadzi nagle umiarkowanie uzasadnionej opłaty dodatkowej o której poinformuje kilka dni przed jej wprowadzeniem wymuszając na klientach jej pokrycie lub ekspresową ucieczkę - wzbudza to obawę do współpracy z takim usługodawcą w obszarze bezpieczeństwa właśnie, zwłaszcza gdy wiemy, że na kilka miesięcy po wprowadzeniu tej opłaty ten operator wycofał ze sprzedaży usługę dla której głównie tą opłatę wprowadził  , bo czemu nagle miałby nie wprowadzić dodatkowej opłaty na przykład z tytułu wzrostu cen energii, która wyniesie dziesięciokrotność standardowej opłaty za usługę,

- znamy także historię gdzie firma straciła wszystkie dane klientów z niezbyt jednoznacznych powodów i miała problem z ich odzyskaniem, a to wszystko było uzupełnione szeregiem innych nie do końca zrozumiałych czynności - tutaj istotnie posiadanie takiej certyfikacji mogłoby mieć jakiś tam wpływ na sytuację, ale nie jestem do końca przekonany czy miałoby wpływ istotny.

 

Oczywiście nie chcę tu podważać sensu istnienia certyfikacji samej w sobie, natomiast w przypadku ISO 27001 jest to w dużej mierze kwestia opracowania procedur. Inną rzeczą jest to, czy będą one stosowane gdy zajdzie sytuacja nietypowa (i czy w ogóle). A jeszcze inną rzeczą jest to, że ubieranie całości jako jedyny aspekt wpływający na bezpieczeństwo w słowach typu "możesz mieć pewność, że bezpieczeństwo Twojej strony WWW i Twoich domen jest na najwyższym poziomie" pisząc tylko w perspektywie posiadania certyfikatu ISO 27001 jest chyba trochę na wyrost, bo bezpieczeństwo jak pokazują powyższe przykłady nie sprowadza sie jedynie do istnienia procedur wynikających z uzyskania i utrzymania takiego certyfikatu, ale do zdecydowanie większej ilości tematów.

[itomek]

Samo ISO 27001 nie było i nigdy nie będzie wystarczającym czynnikiem determinującym wybór tego lub innego usługodawcy hostingowego. Wszyscy wiemy, że firmy hostingowe przechowują duże ilości danych klientów, w tym ich wrażliwe dane osobowe i biznesowe. Posiadanie ISO 27001 pomaga więc w minimalizacji ryzyka naruszenia bezpieczeństwa danych.  W tym aspekcie postrzegam posiadanie ISO 27001 jako inwestycję w bezpieczeństwo informacji. Zgodzę się również, że nie może ono być rozpatrywane w oderwaniu od innych istotnych elementów. Dlatego napisałem, że moim zdaniem warto patrzeć na nie jak na parametr usługi, podobnie jak pojemność czy transfer. Usługi hostingowe nie są usługami standaryzowanymi, zatem użytkownik dokonując wyboru może brać po uwagę wiele czynników, także te mniej oczywiste na pierwszy rzut oka. Warto o tym mówić.

[theqkash]

10 minut temu, itomek napisał(a):

Zgodzę się również, że nie może ono być rozpatrywane w oderwaniu od innych istotnych elementów.

Tyle, że to co piszesz tutaj średnio koreluje z tym co jako nazwa piszecie na swoim blogu, np.:

 

Cytat

Każdy, kto ceni swoje bezpieczeństwo, wie, że nie warto korzystać z półśrodków. W obecnych czasach istnieje wiele zagrożeń, które mogą przysporzyć Ci poważnych problemów, w przypadku gdy informacje przechowywane w sieci nie będą odpowiednio zabezpieczone. Jedyną gwarancją ochrony jest wybieranie dostawcy usług hostingowych, który posiada certyfikat ISO 27001:2017.

 

(nie widzę tu żadnych informacji na temat tego że mówimy w zasadzie wyłacznie o bezpieczeństwie w zakresie zapobieżenia wyciekowi informacji)

 

Ogólnie cały ten artykuł jest jak dla mnie obecnie jedną wielką reklamą nazwa.pl i dlatego proszę albo o jego korektę, aby wyjaśniał w jakim kontekście "bardziej chronicie", albo wątek zostanie scalony z tematem z informacjami od Was, gdyż nie przekazuje żadnych ważnych informacji dla odbiorców, które wykraczaja ponad Waszą własną reklamę, a co gorsza może budzić mylne wrażenie że kontekst bezpieczeństwa wynikający z tego certyfikatu jest szerszy niż jest faktycznie. Kryptoreklama jest tutaj zabroniona.

[itomek]

Nie dyskutuję w tym wątku wyłącznie o nazwa.pl, tylko o firmach hostingowych, które tak jak nazwa.pl wdrożyły i posiadają ISO 27001. Bezpieczeństwo informacji w przypadku podmiotów, które przetwarzają nie tylko dane swoich klientów, ale też dane klientów tych klientów, jest bardzo ważne. Już w dyskusji w tym wątku zostało między wierszami napisane, że zwykły użytkownik nie wie, że może lub powinien sprawdzać, czy dana firma / organizacja w sposób właściwy wypełnia standardy zarządzania bezpieczeństwem informacji. A informacja o certyfikacji ISO 27001 to właśnie umożliwia. Ochrona danych ma dzisiaj kluczowe znaczenie i stąd dyskusja, która nie jest żadną kryptoreklamą. Nie widzę wątku na tym forum, który mówi o tym, w jaki sposób użytkownicy mają weryfikować usługodawców w tym zakresie. Chyba, że wszystko co jest obce dla np. 95% firm w Polsce, a nie jest obce dla 5%, będzie uznane za kryptoreklamę....  

[theqkash]

8 minut temu, itomek napisał(a):

Chyba, że wszystko co jest obce dla np. 95% firm w Polsce, a nie jest obce dla 5%, będzie uznane za kryptoreklamę....  

 

Tomku, z całym szacunkiem, ale nie jesteśmy na webhostingtalk.pl czy na jakimś spidersweb aby aż tak zakrzywiać rzeczywistość.

 

Gdybyście tego certyfikatu nie mieli, to nie założyłbyś takiego tematu aby spytać użytkowników co sądzą o firmach które go posiadają. Założyłeś więc temat dotyczący tej certyfikacji i to jest ok, ale linkujesz w nim do artykułu z Waszego bloga który wyciąga Was na piedestał bezpieczeństwa wszelakiego tylko z racji na fakt posiadania certyfikatu regulującego zaledwie jeden z aspektów bezpieczeństwa. A zatem wyjaśniłem, że to nie jest pełne bezpieczeństwo jakiego ludzie oczekują i pisanie że jesteście gwarantem bezpieczeństwa wszelakiego tylko z uwagi na ten certyfikat jest wg mnie nadużyciem, a niestety tak to wygląda w Waszym artykule co również wyjaśniłem wyżej. 

 

Moje ultimatum przestawione w poście powyżej jest zatem jak najbardziej aktualne. Chcesz wrzucać zagadnienie do dyskusji - śmiało wrzucaj, ale bez forsowania ideologii wiecznego piedestału, która niestety jest mocno dostrzegalna praktycznie wszędzie gdzie zamieszczacie "nowości".

[itomek]

Na wstępie napiszę, że jeżeli problemem w naszej dyskusji jest link do bloga nazwa.pl, na którym mamy artykuł o ISO 27001, to można ten link usunąć. Bo chyba o to chodzi, a nie o samą kwestię istoty posiadania (lub nie) certyfikatu ISO 27001?

 

Zwiększająca się świadomość użytkowników wymaga, aby zwracać uwagę na nowe aspekty, których inni albo nie chcą dostrzegać, albo nie wiedzą, że powinni dostrzegać. Osobiście uważam, że na tym właśnie polega rozwój. Gdyby było to "nic", "nieważne", "niepotrzebne", pewnie takie firmy jak AWS czy Google także nie pisałyby u siebie o tym, że działają w zgodności z ISO 27001. Dzisiaj zwraca się na to uwagę, a moim zdaniem forum branżowe, jakim jest rootnode.pl, powinno uwzględniać zmieniające się trendy w podejściu użytkowników chociażby do tematu bezpieczeństwa. 

[theqkash]

Problemem jest wprost to, że w komunikacji często upraszczacie temat bezpieczeństwa do posiadanych przez Was certyfikatów, które tak jak już wielokrotnie wspomniałem regulują tylko jeden konkretny jego aspekt.

To tak jakby więzienie chwaliło się najwyższym bezpieczeństwem tylko i wyłącznie dlatego, że ma kraty w oknach, certyfikowane (), a miałoby problemy kadrowe, albo ściany zewnętrzne budynku np. z czegoś co można łatwo zforsować. Czy takie miejsce może nazywać się "bezpiecznym"? Bo wygląda na to, że trochę w tym kierunku to u Was na blogu zmierza - jeden aspekt bezpieczeństwa mamy "certyfikowany" to znaczy że jesteśmy super bezpieczni ogólnie.

 

Oczywiście nie twierdzę, że w innych aspektach bezpieczeństwa nie dajecie rady, bo tego nie wiem, ale na pewno takie uproszczenie nie jest do końca etyczne i uczciwe w komunikacji, dlatego link do Waszego bloga który w taki sposób to komunikuje usuwam i proszę aby więcej takiego typu przekazy podprogowe i inne szeptanki się tutaj nie pojawiały. 

 

Swoją drogą @itomek możesz wskazać które konkretnie aspekty przy tej certyfikacji mają wpływ realny wpływ na świadczone przez Was usługi hostingowe? Przypominam natomiast z góry że jesteśmy na forum branżowym

 

 

PS. Nigdzie nie napisałem, że certyfikaty to rzeczy nieważne czy niepotrzebne, więc prosiłbym nie uogólniać w ten sposób moich wypowiedzi, ale wyraźnie nakreśliłem czym tak naprawdę jest "bezpieczeństwo", bo stosowana przez Was definicja jest wyjątkowo ograniczona na potrzeby prowadzonej komunikacji. Jeśli uogólniacie w ten sposób bezpieczeństwo to przypominam, że OVH po pożarze serwerowni straciło bezpowrotnie niemalże wszystkie dane które się znajdowały na serwerach które w tej serwerowni były, więc ciężko mówić aby były bezpieczne absolutnie od wszystkiego, a to własnie sugerujecie na swoim blogu. A OVH też posiada certyfikaty, którymi się chwalicie.

[itomek]

Skoro link został usunięty, w odpowiedzi zacytuję to, o czym piszemy na blogu nazwa.pl:

 

Cytat

ISO 27001:2017 to międzynarodowa norma, która standaryzuje systemy zarządzania bezpieczeństwem informacji. Stanowi ona zbiór praktyk dotyczących sposobów zarządzania, które gwarantują klientom danego przedsiębiorstwa właściwą ochronę ich danych. Można powiedzieć, że firmy, które wdrożyły certyfikat ISO 27001:2017, zidentyfikowały potencjalne zagrożenia dotyczące ich działalności i wprowadziły odpowiednie środki zapobiegawcze w celu eliminacji ryzyk. Sam certyfikat jest wydawany przez niezależną jednostkę audytową, która posiada uprawnienia do wystawienia oficjalnych dokumentów i przeprowadzania w tym zakresie badań weryfikacyjnych.

 

Przenosząc to na odpowiedź w kwestii pożarów w centrum danych, certyfikat ISO 27001 to, jak napisaliśmy, zbiór praktyk dotyczących sposobu zarządzania, który w sytuacji zaistnienia problemu pozwala posiadającej go firmie podjąć właściwe działania, które mają na celu eliminację problemu i zapewnienie ciągłości pracy organizacji. Nie jest to tylko pakiet "życzeń", ale potwierdzony przez niezależnego audytora dobrze opracowany plan.

 

Cytat

Proces implementacji skutecznego systemu zarządzania bezpieczeństwem informacji zajmuje od kilku do kilkunastu miesięcy i wymaga dostosowania zasad realizacji zadań przez wszystkich pracowników do przepisów określonych w przyjętych normach. Certyfikacja przebiega dwuetapowo i przeprowadza ją niezależny podmiot, który dokonuje audytów w organizacji. W pierwszej kolejności sprawdzana jest dokumentacja, a następnie funkcjonowanie systemu zarządzania, a także właściwa praca poszczególnych działów firmy.

 

Dzięki tym czynnościom, które są przeprowadzane w trakcie audytu, użytkownik korzystający  z hostingu z certyfikatem ISO 27001 może mieć pewność, że taki urząd jak np. DEKRA, zweryfikował procedury w poszczególnych działach firmy i uznał, że są one prawidłowe. I na koniec zaznaczę, czemu naszym zdaniem ISO 27001 jest istotne:

 

Cytat

Uważamy, że spełnianie międzynarodowych norm to wyraz dbałości o ochronę danych Klientów. Uzyskanie certyfikatu to dowód, że nazwa.pl posiada odpowiednie procedury działania, przechodzi regularne i skrupulatne audyty, a wiedza pracowników jest na najwyższym poziomie.

 

Oczywiście nie oznacza to, że firmy bez certyfikatu nie mają procedur, a wiedza ich pracowników jest na niewystarczającym poziomie. Oznacza to, że np. my w nazwa.pl po raz kolejny przeszliśmy z sukcesem niezależny audyt, a jego wynik potwierdził spełnienie przez nas międzynarodowych norm. Jeżeli dla kogoś jest to istotne, z pewnością zwróci uwagę na to, czy jego hosting ma ISO 27001. Jeżeli dla kogoś nie jest to istotne, potraktuje ISO 27001 jako kolejny parametr, obok innych którymi dysponuje dany hosting. 

[theqkash]

30 minut temu, itomek napisał(a):

 

Przenosząc to na odpowiedź w kwestii pożarów w centrum danych, certyfikat ISO 27001 to, jak napisaliśmy, zbiór praktyk dotyczących sposobu zarządzania, który w sytuacji zaistnienia problemu pozwala posiadającej go firmie podjąć właściwe działania, które mają na celu eliminację problemu i zapewnienie ciągłości pracy organizacji. Nie jest to tylko pakiet "życzeń", ale potwierdzony przez niezależnego audytora dobrze opracowany plan.

 

Zatem wniosek (pokątny, bo nie przyznajesz tego wprost), jest taki, że posiadanie tych certyfikacji nie uchroni w żaden sposób przed taką sytuacją, a zatem dane nie są bezpieczne od pożarów i tego typu zdarzeń. Prawda?

 

30 minut temu, itomek napisał(a):

Oznacza to, że np. my w nazwa.pl po raz kolejny przeszliśmy z sukcesem niezależny audyt, a jego wynik potwierdził spełnienie przez nas międzynarodowych norm.

 

Dobrze, więc raz jeszcze zadam to samo pytanie: które konkretnie aspekty przy tej certyfikacji mają wpływ realny wpływ na świadczone przez Was usługi hostingowe? Przypominam natomiast z góry że jesteśmy na forum branżowym  

 

Uzupełniając: jeśli mówisz tylko o oddzieleniu dostępów do poszczególnych danych w zależności od piastowanego stanowiska w firmie to raczej to jest coś co w większości firm działa niezależnie od posiadanego lub nie posiadanego certyfikatu, dlatego chętnie dowiem się jakie jeszcze inne aspekty Waszym zdaniem mają realny wpływ na bezpieczeństwo danych klientów.  

 

[itomek]

Odnosząc się do pierwszej części pytania, ISO 27001 potwierdza w jednym ze swoich elementów m.in. wprowadzenie zasad dotyczących kontynuacji działalności w przypadku naruszenia bezpieczeństwa danych. W ten sposób firma zachowuje integralność informacji, także w trakcie prowadzonego dochodzenia w sprawie ewentualnych naruszeń.

 

14 minut temu, theqkash napisał(a):

które konkretnie aspekty przy tej certyfikacji mają wpływ realny wpływ na świadczone przez Was usługi hostingowe?

 

Procedura certyfikacji obejmuje dokładnie wszystkie kluczowe aspekty działalności, mające wpływ nie tylko na świadczone usługi hostingowe, ale także na całą organizację.

[theqkash]

Teraz, itomek napisał(a):

Procedura certyfikacji obejmuje dokładnie wszystkie kluczowe aspekty działalności, mające wpływ nie tylko na świadczone usługi hostingowe, ale także na całą organizację.

 

A coś poza ogólnikami? Ujmujecie to na blogu, że posiadanie takiego certyfikatu daje gwarancję bezpieczeństwa. Chciałbym poznać szczegółowe korzyści jako potencjalny klient. W jaki sposób moje dane będą bardziej bezpieczne u Was niż w innej firmie która nie posiada takiego certyfikatu lub nie realizuje wymogów (jeśli jak to jakich może nie realizować)?

 

Jeśli nie jesteś w stanie udzielić na to jakiejś konkretnej odpowiedzi to daj znać, nie będę dalej drążył, bo to kolejny post w którym rzucasz tylko ogólne informacje, a wyraźnie nie o to chodzi. Przypominam po raz trzeci, że jesteśmy na forum branżowym i fachowym i oczekujemy tutaj konkretnych informacji a nie marketingowego bełkotu.

[oui]

Ehh, ile trwa certyfikacja pod to ISO 27001? Dwa dni? Łącznie 10 godzin pytań o procedury? Pomijam kwotę na fakturze od DEKRY.

 

Nie róbmy z tego ISO świętego grala bezpieczeństwa, to tylko znaczy że umiecie ładnie pisać procedurki. To ISO nie gwarantuje żadnego bezpieczeństwa danych, to nie jest audyt który sprawdza jak macie skonfigurowane serwery i jakie szyfrowanie stosujecie, jak aktualizujecie oprogramowanie na serwerach. 

 

[spex]

2 godziny temu, itomek napisał(a):

Przenosząc to na odpowiedź w kwestii pożarów w centrum danych, certyfikat ISO 27001 to, jak napisaliśmy, zbiór praktyk dotyczących sposobu zarządzania, który w sytuacji zaistnienia problemu pozwala posiadającej go firmie podjąć właściwe działania, które mają na celu eliminację problemu i zapewnienie ciągłości pracy organizacji. Nie jest to tylko pakiet "życzeń", ale potwierdzony przez niezależnego audytora dobrze opracowany plan.

Plan planami, i można mieć plan na wszystko. Tylko pytanie, czy ktoś testował czy w praktyce te plany działają.

 

Bo niestety, dość często te wszystkie certyfikaty ISO są takimi wiecznymi półkowcami. Robi się je tylko by były na półce i w materiałach prasowych. Ale nikt tak naprawdę, nawet nie sprawdził iż, czy przewidziane w nich procedury w praktyce działają.

[itomek]

Jak już kilkakrotnie wspomniałem, audyt ISO 27001 przeprowadzany jest przez niezależny podmiot certyfikujący. Tego typu weryfikacja uwzględnia wiele czynników, w tym to, czy dana firma zdaje sobie sprawę z zagrożeń i słabych punktów swojej działalności. Dodatkowo, weryfikowane są plany awaryjne, w tym także system szkoleń pracowników w zakresie zapobiegania zagrożeniom. ISO 27001 pozwala redukować powstawanie ludzkich błędów, które są nieuniknione w normalnej działalności. To dzięki procedurom, które są zweryfikowane i których przestrzeganie jest nadzorowane przez specjalnie do tego celu powołane osoby w organizacji. Wypowiedzi, że są to martwe procedury, niezweryfikowane, niepewne mogą powstawać tylko w sytuacji, gdy osoba głosząca taki pogląd nie ma doświadczenia z procesami certyfikacji i stosowania ISO 27001. Jesteśmy na branżowym forum, zatem tego typu stwierdzenia tym bardziej mnie dziwią i tylko pokazują, jak dużo edukacji i rozmów w tym temacie jest jeszcze potrzebne. 

[theqkash]

2 minuty temu, itomek napisał(a):

Jesteśmy na branżowym forum

 

No własnie na takim forum jesteśmy, a nie potrafisz nadal wykazać jaki konkretnie wpływ ma ta certyfikacja na bezpieczeństwo danych użytkowników hostingu, tylko zamiast tego sprzedajesz taką wymijającą gadkę. Może w końcu konkret? Chętnie się dowiemy od kogoś bardziej doświadczonego w jaki sposób moje dane są bezpieczniejsze u Was niż u firmy bez takiego certyfikatu. Co konkretnie w perspektywie hostingu taki certyfikat wnosi do bezpieczeństwa danych na serwerach? 

[oui]

Po prostu są tutaj osoby na których wasze ISO nie robi wrażenia i wiedzą że jest to kolejna rzecz który trzeba odbębnić w roku i wiedzą jak wygląda od środka. Natomiast rozumiem że twoja praca to pisanie i sprzedaż tego jako najważniejszy certyfikat w Polsce. 

 

Dlatego dla osób postronnych: certyfikacja ISO 27001 dla firmy nazwa.pl nic nie zmienia, certyfikat nie wpływa na bezpieczeństwo twoich danych.