Mag ik uw SOA even zien?
Het is een steeds vaker voorkomende vraag die wordt gesteld aan Cloud Service Providers: “mag ik uw SOA even zien”? Voor iedereen die niet in de materie is ingewijd, kan dit misschien wat vreemd overkomen, maar met SOA wordt hier ‘Statement of Applicability’ bedoeld. En met deze vraag willen (potentiële) klanten gevoel en inzage krijgen in hoe serieus de Service Provider omgaat met informatiebeveiliging.
Gastblog geschreven door Frits Veltink van Cumulus Trust. Deze blog is eerder verschenen op OutsourcingHub.nl. Per mei 2020 zijn al onze activiteiten samengevoegd via iSourcing Hub.
Het belang van een SOA wordt nog wel eens onderschat. Het is echter hét centrale document dat aantoont hoe een ISO27001-gecertificeerde organisatie een groot deel van de informatiebeveiliging in heeft gericht.
Sterker nog: het SOA is de belangrijkste schakel tussen de risico-analyse en de implementatie van uw informatiebeveiliging. In het document dient duidelijk vastgelegd te worden welke controls (beveiligingsmaatregelen) van toepassing zijn en op welke wijze deze worden uitgevoerd. Als Cloud Service Provider kun je je laten leiden door bijvoorbeeld ISO-gedefinieerde controls, maar niets houdt je tegen om ook verder te kijken. Bijvoorbeeld als er sprake is van specifieke compliance-doelstellingen die een rol spelen in de dienstverlening van klanten. Het gaat er uiteindelijk om een werkbare informatiebeveiliging te hebben die voldoet aan uw eisen, maar zeker ook aan de eisen van uw klanten en prospects.
Waarom een SOA nodig is
Het SOA documenteert of de beveiligingsmaatregelen al dan niet zijn geïmplementeerd en hoe deze worden uitgevoerd, bijvoorbeeld door het maken van een verwijzing naar een document (beleid / procedure / werkinstructie etc.), of door het kort beschrijven van de procedure. Inderdaad: typisch iets waar accountants en auditors gek op zijn.
Het SOA is dan ook vaak het centrale document voor het doen van een on-site audit door uw klanten. Helaas zien nog maar weinig bedrijven in dat een goed geschreven SOA het aantal andere documenten kan verminderen, simpelweg door een kleine procedurebeschrijving op te nemen.
Het nut van SOA’s
Het goede aan SOA’s is dat ze organisaties dwingen om de informatiebeveiliging op een systematische manier uit te voeren. Zo is het SOA geen overhead, maar juist de rode draad voor het uitvoeren van de informatiebeveiliging.
Indien goed opgesteld is het een mooi overzicht van wat er moet gebeuren , waarom het nodig is en natuurlijk ook hoe het moet plaatsvinden.
Daarnaast geeft het klanten en potentiële nieuwe klanten het juiste inzicht en vertrouwen in de wijze waarop u als Service Provider omgaat met informatiebeveiliging. Als u hier open en transparant over communiceert, dan wordt het SOA ineens van een verplicht nummer een business-asset die zorgt voor tevredenheid en vertrouwen bij nieuwe en bestaande klanten.
En zo kunt u als Cloud Service Provider zonder blozen de vraag ‘Mag ik uw SOA even zien?” tegemoet zien!
Gastblog geschreven door Frits Veltink van Cumulus Trust.
