@bert_hubert
Vraag aan jou:
een ondertekeningsdienstverlener (digitale ondertekening van contracten) zegt dat hij gecertificeerd is voor ISO27001, ISO9001 en NEN7510.
Als ik naar de algemene informatie over de normen kijk lijkt het organisatorisch te zijn. Dan weet ik toch niet of de IT ook echt doet wat er wordt beloofd? Ik moet bij dit soort diensten altijd aan DigiNotar denken die voor van alles was gecertificeerd (1/2)
(2/2) (als ik me goed herinner door PWC) maar waar het met de IT verschrikkelijk mis ging. In een rapport over NIS2 https://www.ncsc.nl/documenten/publicaties/2022/oktober/13/index lees ik dat er in F en D programma's zijn met IT-auditors, dat is er in NL toch niet? Kan er veilig met zo'n ondertekeningsdienst worden gewerkt. De genoemde certificeringen zijn natuurlijk positief.
Maar is zo'n dienst wel veilig zonder IT-audit?
Ik hoop op je antwoord
@helma
Mijn herinnering aan #DigiNotar (ik ben ooit bij een presentatie van die lui geweest) is dat het op 'papier' er prachtig uit zag. Bij zo'n ondertekeningsdienst zal dat het geval zijn als ze ISO-gecertificeerd zijn. Mijn probleem: kwa #cybersecurity kunnen ze lek als een mandje zijn. Dus: kan ik het wel gebruiken om iets op afstand te tekenen? En kan ik het klanten adviseren? Zie ook reactie Hubert
@helma@ellent@bert_hubert
certificering tegen deze normen zegt dat het information security management systeem op orde is. Zegt in essentie wel iets over security, want de gecertificeerde partij moet wel iets doen aan security ('wat' conform de security baseline, bijv. Iso27002), maar de certificering zegt niet 'hoe' of hoe secure het is.
1/2
Add comment