ISO 27001

AFAS is sinds 2012 ISO27001 gecertificeerd volgens de (toen geldende) 2005-norm. In 2015 is deze vernieuwd naar de 2013-norm. Deze transitie is samen met de certificeringsinstelling EY gedaan vanwege de samenvoeging van meerdere beheersmaatregelen die dezelfde doelstelling hebben. De beheersmaatregelen zijn zo opgesteld dat zij aan de normen van verschillende standaarden voldoen. EY was in haar eindoordeel met name gecharmeerd van de hoge mate van standaardisatie en integratie van de beheersprocessen van de diverse afdelingen, in combinatie met de normering vanuit de diverse certificeringen.

ISO 27001

ISO 27001 specificeert eisen voor het vaststellen, implementeren, uitvoeren, bewaken, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van informatiebeveiligingsrisico's. Het ISMS is ontworpen met het oog op adequate en proportionele beveiligingsmaatregelen die de informatie afdoende beveiligen en vertrouwen bieden.

Scope

'Het beschikbaar stellen van de actuele versie van AFAS Profit en aanverwante programmatuur, inclusief koppelingen met derde partijen zoals (semi)overheidsinstanties en banken, door middel van de dienst AFAS Online.'

Certificeringsorganisatie

De certificering is uitgevoerd door EY Certify Point.

EY CertifyPoint opgericht in 2002, is een geaccrediteerde onafhankelijke en onpartijdige certificatie-instelling met ervaren auditors.
Zij richt zich op het organiseren, beheren en gebruik maken van de certificatie van de organisatie en het beheer van systemen en kaders tegen diverse ISO-normen. EY CertifyPoint is verantwoordelijk voor beslissingen over de toekenning, het behoud, de uitbreiding, het beperken, uitstellen of intrekken van certificaten. Zij voeren het totale certificeringspad uit in overeenstemming met de procedures en richtlijnen die zijn opgenomen in specifieke kwaliteit handleidingen per 'type' van de certificering.

 

ISO 27001:2013 certificaat

Bovenaan staat het uitgegeven certificaat door EY.

De basis hiervoor is onze VVT, Verklaring Van Toepasselijkheid, deze verklaring is hier in te zien.

 

Veel gestelde vragen over de ISO27001 certificering:

Waarom is de ontwikkeling van de software zelf niet meegenomen in de test, maar alleen opgeleverde software?
De software die op het AFAS Online platform wordt aangeboden hebben we bewust niet in de scope opgenomen vanwege de duidelijke scheiding die er zit tussen de Software ontwikkeling en de SaaS dienstverlening. Daarnaast is het zo dat het grootste deel van de gebruikte software wel door AFAS zelf wordt ontwikkeleld, maar er zijn ook applicaties die door andere zijn ontwikkeld (inmiddels bieden we geen MS-Word en MS- Excel aan maar voorheen was die software ook via ons platform beschikbaar). We hebben er dus voor gekozen om de ontwikkeling zelf niet onder de certificering te laten vallen, maar alleen uitgebreid geteste software beschikbaar te stellen op het platform. We zijn wel een onderzoek gestart om de ontwikkeling van zowel Profit alsook AFAS In- en OutSite te laten certificeren, maar voor nu is dat nog niet zo.

In de VvT geven jullie aan dat fysieke beveiliging volledig door de hosting provider wordt uitgevoerd en daarmee verklaren jullie dit niet van toepassing. Voor jullie eigen systeembeheerders geldt toch ook een fysieke beveiliging?  
Alle toegang tot de data van AFAS Online (onze systeembeheerders) wordt digitaal beveiligd (2FA met OTP). De fysieke locatie van die systeembeheerders maakt daarbij niet uit. Ook onze systeembeheerders kunnen prima vanuit huis werken waar een ‘fysieke beveiliging' niet van toepassing is.

De beheersmaatregel A.14.3.1 Bescherming van testgegevens sluiten jullie uit. De software wordt toch wel getest? Kan worden aangetoond dat 'onze data' niet gebruikt wordt voor testdoeleinde?
Het is altijd lastig om aan te tonen dat je iets ‘niet doet’ of ‘niet hebt’, maar AFAS test nooit op klantdata zonder dat de klant daar schriftelijk toestemming voor heeft gegeven.

Certificaat