Extreme heeft afgelopen jaren veel extra inspanningen gedaan om ExtremeCloud IQ te certificeren volgens de meest actuele nieuwe ISO-normen. ExtremeCloud IQ is daarmee de enige oplossing voor cloudmanagement met drievoudige certificering: ISO 27001, ISO 27017 en ISO 27701. Bovendien zijn we CSA STAR en hebben we SOC 2 Type 1 en 2 uitgevoerd. Bill Lundgren, onze director of Product Management voor Cloud Operations & Architecture, legt je hier uit wat dit precies betekent.

Wat is ISO?

ISO is de nternational Organization for Standards en is gevestigd in Zwitserland. ISO creëert normen voor zo ongeveer alles wat je maar kunt bedenken. Van schoenmaten tot wijnglazen, ze hebben voor alles een officiële internationale standaard. Met behulp van audits van gecertificeerde assessment partners zorgen ze ervoor dat processen en procedures voldoen aan een bepaalde ISO-norm of deze overtreffen.

ISO 27001

ISO 27001 is de eerste certificering die Extreme al een paar jaar heeft. Deze standaard implementeert een ISMS, of Information Security Management System. De crux hier is ‘systeem’. Het ISMS is niet een enkel beleid, maar een hele reeks beleidsregels, standaarden en procedures die bepalen hoe we Cloud IQ gebruiken, en we moeten ze volgen. Van hoe we de achtergronden van onze werknemers controleren tot de codering die we gebruiken om uw gegevens te beschermen, we hebben massa’s geschreven normen die zijn opgebouwd rond 114 afzonderlijke ISO 27001-controles die zijn ontworpen om uw gegevens te beschermen. De ISO-audit kijkt vervolgens naar alle 114 van die controles en we leveren bewijs dat we een proces en procedure hebben om aan de controlenorm te voldoen, en we tonen aan dat we die norm daadwerkelijk implementeren.

ISO 27017

ISO 27017 is geen certificering, maar een ‘statement of compliance’, aangezien het geen systeem implementeert. ISO 27017 is in feite een uitbreiding van ISO 27001 en voegt extra controles toe aan de basis van 114 controles die eerder werden gebruikt. Deze aanvullende besturingselementen zijn specifiek voor cloudactiviteiten en hebben betrekking op zaken als gegevensexport, verwijdering, op klanten gebaseerde openbaarmaking van cloudinformatie en meer. ISO 27017 is de standaard voor een SaaS-operatie.

ISO 27701

Dit is een nieuwe standaard en we zijn er erg trots op dat we die ook hebben. Je hebt misschien al eens gehoord van ISO 27018, maar ISO 27701 is nieuw en is een compleet ISO-systeem, dat implementeert wat nu bekend staat als PIMS, of Privacy Information Management System. Deze norm behandelt uitsluitend kwesties die verband houden met dataprivacy, bescherming, retentie en beheer. Als je je zorgen maakt over AVG, CCPA of andere PII- en databeschermingsproblemen, kan onze ISO 27701-certificering je geruststellen. Deze standaard behandelt alle aspecten van ExtremeCloud IQ die jouw gegevens heeft, en hoe we volledige privacy beheren en waarborgen.

CSA STAR

De Cloud Security Alliance, of CSA, is een organisatie zonder winstoogmerk met de missie om het gebruik van best practices voor het bieden van beveiligingsgaranties in cloud computing te promoten en om voorlichting te geven over het gebruik van cloud computing om alle andere vormen te helpen beveiligen van rekenen. De CSA bestaat uit leden die tot doel hebben het bewustzijn te vergroten en te helpen bij het definiëren van veilige cloud computing.

STAR, of het programma Security Trust Assurance and Risk binnen CSA, is een programma met meerdere niveaus dat is ontworpen om een ​​cloudoplossing in kaart te brengen volgens verschillende standaarden en om te beoordelen of ze voldoen aan best practices op het gebied van beveiliging.

De eerste fase van STAR is niveau 1, waar Cloud IQ zich momenteel bevindt. Dit niveau wordt bereikt door het invullen van de CAIQ (Consensus Assessment Initiative Questionnaire) die momenteel in versie 3.1 is. Deze vragenlijst is een eenvoudig ja/nee-formaat, beoordeelt honderden afzonderlijke elementen over een cloudoplossing en biedt een door de branche geaccepteerde manier om te documenteren welke beveiligingscontroles er zijn in IaaS-, PaaS- en SaaS-services, waardoor de beveiligingscontrole transparant wordt. De vragen in de CAIQ zijn toegewezen aan de CCM, of Cloud Controls Matrix, een meta-framework van cloudspecifieke beveiligingscontroles, toegewezen aan toonaangevende standaarden, best practices en regelgeving.

Door onze antwoorden op de CAIQ en de CCM te gebruiken, kan iedereen zien hoe Cloud IQ presteert ten opzichte van alle beschikbare standaarden.

Statement of Applicability

In ons ISO-programma zit ook al een paar jaar een Statement of Applicability, ook wel verklaring van oepasselijkheid. Onze SoA dekt alle drie de ISO-certificeringen voor alle leveringsmethoden die we hebben voor Cloud IQ! Dus, of je een openbare cloud, private managed instances of de ExtremeCloud Edge gebruikt, onze ISO-normen ben je afgedekt!

Kortom, Extreme biedt de meest volledig gecertificeerde oplossing voor cloudnetwerkbeheer in de branche, gecertificeerd volgens internationale normen. Je kunt al deze normen, certificeringen en meer bekijken op https://www.extremenetworks.com/cloud-technology/cloud-security/.

Aanvullende bronnen

• ISO 27001: https://www.iso.org/standard/54534.html
• ISO 27017: https://www.iso.org/standard/43757.html
• ISO 27701:  https://www.iso.org/standard/71670.html
• CSA:  https://cloudsecurityalliance.org/
• CSA CCM:  https://cloudsecurityalliance.org/research/cloud-controls-matrix/

STAR-registratie van ExtremeCloud IQ: https://cloudsecurityalliance.org/star/registry/extreme-networks