ISO/IEC 27001
Wir verlangen ISO-Zertifizierung für uns und unsere Rechenzentrumspartner als Beleg der Einhaltung strenger Kontrollen und Prozesse.
ISO/IEC 27001 ist ein international anerkanntes Best-Practice-Rahmenwerk für ein Information Security Management System (ISMS), eine Reihe von Aktivitäten, die die Verwaltung der Risiken für die Informationssicherheit regeln. Das ISMS ist ein übergeordnetes Management-Framework, mit dem wir Risiken für die Informationssicherheit wirksam identifizieren, analysieren und beheben können. Das ISMS stellt außerdem sicher, dass unsere Sicherheitsvorkehrungen abgestimmt werden, um mit den sich ständig ändernden Sicherheitsbedrohungen, Schwachstellen und geschäftlichen Auswirkungen Schritt zu halten.
Zertifizierte Einhaltung von ISO/IEC 27001 durch eine akkreditierte und anerkannte Zertifizierungsstelle erfolgt auf freiwilliger Basis. Bei grexx sind wir jedoch davon überzeugt, dass wir durch diese Zertifizierung unseren Kunden, Mitarbeitern und anderen Beteiligten zeigen können, dass die Sicherheit ihrer Informationen von grundlegender Bedeutung für unser Unternehmen ist. Jedes Rechenzentrum, das wir nutzen, muss ebenfalls über diese Zertifizierung verfügen.
Die Zertifizierung dieses Standards bedeutet, dass wir:
- Risiken und Schwachstellen identifizieren und zeitnah geeignete Kontrollen implementieren, um sie zu verwalten oder zu reduzieren, bevor sie Schaden anrichten können
- Zeigen, dass unsere Einhaltung dieses Standards und unser Einsatz für Informationssicherheit von einer akkreditierten und anerkannten Zertifizierungsstelle verifiziert und überprüft wurde
- die Notwendigkeit erkennen, Unternehmensinformationen zu schützen und die erforderlichen Ressourcen bereitzustellen, damit wir dies effektiv und mit einer kontinuierlichen Verbesserung tun können
ISAE 3402
Wir sind bestrebt, einen konsistenten und zuverlässigen Service bereitzustellen. Unsere Kunden erhalten eine detaillierte Zusicherung durch Dritte, indem wir den International Standard on Assurance Engagements (ISAE) Nr. 3402 einhalten. ISAE 3402 wurde vom International Auditing and Assurance Standards Board (IAASB) herausgegeben, das Teil der International Federation of Accountants (IFAC) ist. Bei grexx haben wir diesen Standard 2011 übernommen.
ISAE 3402 dient Prüfern als Grundlage für die Abfassung eines Berichts über die interne Kontrolle des Finanzberichtswesens eines Unternehmens. Dies bedeutet, dass ein unabhängiger Dritter verifiziert, dass grexx intelligent, sicher und effizient ist.
Es gibt zwei Arten von Berichten: Typ 1 und Typ 2.
Ein Bericht des Typs 1 beschreibt die Kontrollmechanismen eines Unternehmens zu einem bestimmten Zeitpunkt. Ein Bericht des Typs 2 untersucht sowohl die Gestaltung als auch die Effektivität der Kontrollsysteme über einen Zeitraum von mindestens sechs Monaten. Bei grexx sind wir bestrebt, jährlich eine SAE 3402 Audit-Prüfung vom Typ 2 durchzuführen. Sie finden folgende Informationen in unserem ISAE 3402 Bericht:
- Der Bericht des unabhängigen Service-Auditors
- Unsere Beschreibung von Kontrollen
- Vom unabhängigen Service-Auditor bereitgestellte Informationen, einschließlich einer Beschreibung der Tests zur operativen Wirksamkeit durch den Service-Auditor und die Ergebnisse dieser Tests
- Andere relevante Informationen, die wir zum Abschluss des Berichts bereitgestellt haben
NEN 7510
NEN 7510 wurde speziell für die niederländische Pflegesituation entwickelt und hilft Organisationen im Gesundheitswesen, entsprechende Sicherheitsmaßnahmen zu ergreifen. Themen in der NEN 7510 sind unter anderem die Gewährleistung der Verfügbarkeit von Daten und die Integrität und die Vertraulichkeit aller Informationen verantwortlich für die Patientenversorgung .
In NEN 7510 sind Maßnahmen beschrieben wie man auf eine angemessene Weise mit Informationen umgeht. Diese Maßnahmen müssen mit dem Standard eingerichtet werden, so dass sie zu steuern sind. NEN 7510 ist für den Schutz aller Arten von Informationen in und zwischen den zuständigen Organisationen und allen möglichen Formen, in denen Informationen angezeigt werden, aufgezeichnet und übertragen. Um die erforderliche Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu bestimmen, ist ein notwendige Risikobeurteilung notwendig.