ISO 27001 en de rol van FM in het datacenter
ISO 27001 is de internationale norm voor informatiebeveiliging. Voor datacenters is certificering vaak een commerciële vereiste: klanten eisen het in hun contracten. De norm bevat expliciete eisen aan fysieke beveiliging en omgevingsbeheersing die direct op het bord van FM liggen.
Nederlandse context
In Nederland is ISO 27001-certificering wijdverbreid onder datacenteroperators. De certificering wordt uitgevoerd door geaccrediteerde instanties onder toezicht van de Raad voor Accreditatie (RvA). Overheidsorganisaties verwijzen in aanbestedingen naar ISO 27001 via de Baseline Informatiebeveiliging Overheid (BIO), die ISO 27001 als basis hanteert.
Kernbegrippen
- Annex A
- Bijlage bij ISO 27001 met 93 beheersmaatregelen, georganiseerd in vier thema's. Fysieke beveiliging valt onder het thema 'Physical controls'.
- Statement of Applicability
- Document waarin de organisatie per Annex A-maatregel aangeeft of deze van toepassing is en hoe deze is geïmplementeerd. Voor datacenters zijn vrijwel alle fysieke maatregelen relevant.
- Interne audit
- Periodieke toetsing door eigen of ingehuurde auditors of het ISMS (Information Security Management System) functioneert conform de norm. FM-processen worden hierin meegenomen.
- Correctieve maatregel
- Actie om de oorzaak van een afwijking weg te nemen en herhaling te voorkomen. Moet gedocumenteerd en traceerbaar zijn.
- Risicobehandeling
- Het selecteren van maatregelen op basis van een risicobeoordeling. ISO 27001 vereist dat fysieke beveiligingsmaatregelen proportioneel zijn aan het geïdentificeerde risico.
Wat de wet vereist
ISO 27001 is geen wet maar een norm; certificering is vrijwillig. In de praktijk is het echter een de facto verplichting voor commerciële datacenters. Klanten, met name financiële instellingen en overheidsorganisaties, eisen certificering contractueel. Zonder certificering verlies je aanbestedingen en klanten.
De norm vereist dat fysieke beveiligingsmaatregelen gebaseerd zijn op een risicoanalyse. Voor datacenters betekent dit: beveiligde perimeters, toegangscontrolesystemen, bescherming tegen brand en wateroverlast, stroomvoorziening en klimaatbeheersing. Elke maatregel moet gedocumenteerd, geïmplementeerd en periodiek getoetst zijn.
Voor u als FM-professional betekent ISO 27001 dat uw processen auditeerbaar moeten zijn. Onderhoudslogboeken, toegangslogs, incidentregistraties en procedures moeten beschikbaar zijn voor interne en externe auditors. Bereid u voor op jaarlijkse surveillance-audits waarin auditors steekproefsgewijs uw fysieke maatregelen controleren en medewerkers bevragen. De sleutel is een werkend managementsysteem, niet een map vol papieren procedures.
Verwante onderwerpen
Volg het laatste nieuws over dit onderwerp via Datacenterbeheer op FM Radar →