Offerte aanvragen

ISO 27017 en ISO 27018

Deze ISO 27017 en ISO 27018 normen zijn een aanvulling op uw ISO 27001 certificering. Wilt u zich onderscheiden als cloud leverancier, bespreek dan eens met ons de mogelijkheden.

  • Je audit start wanneer dit past voor jouw organisatie
  • Persoonlijke begeleiding gedurende het certificeringstraject.
  • Scherpe prijzen
Vrijblijvende offerte aanvragen

Al meer dan 300 organisaties gingen u voor.

ISO 27017 en ISO 27018 - DigiTrust

De normering uitgelegd

DigiTrust certificeert Clouddiensten conform ISO 27017 én ISO 27018

Organisaties die clouddiensten aanbieden (Infrastructuur- of Platform- of Software als een Service) én de afnemers van deze clouddiensten, willen steeds meer aanvullende garanties dat hun gegevens echt goed beveiligd zijn. Met de ISO 27017 en ISO 27018 certificeringen van DigiTrust kunnen bedrijven exact dat aantonen. De beide normen zijn bedoeld voor clouddiensten, waarmee aangetoond wordt dat de beveiliging van informatie in de cloud goed is geborgd.

Context ISO 27017 en ISO 27018

De ISO 27001 beschrijft de eisen van een managementsysteem voor informatiebeveiliging. In deze norm wordt verwezen naar de Annex A beheersmaatregelen. Deze zijn verder uitgewerkt in de ISO 27002. De ISO 27017 en ISO 27018 zijn gebaseerd op de ISO 27002. De normen zijn echter verschillend en hebben een andere bedoeling. De normen zorgen er niet alleen voor dat de Cloud Service Providers de data van de klanten goed beschermen, maar geven ook belangrijke verplichtingen om te communiceren met de klanten in het geval van problemen. Daarnaast moet er een contract aanwezig zijn waarin vastgesteld wordt dat de data beveiligd blijft en de provider alleen met toestemming van de klant toegang kan krijgen tot die data.

Met trots gecertificeerd door DigiTrust

Klik op de logo's om alle door DigiTrust gecertificeerde bedrijven te bekijken.

Certificeringstraject - DigiTrust - Topicus
Certificeringstraject - DigiTrust - Pink
GP_LOGO_M&S V3
Certificeringstraject - DigiTrust - ISO Groep
Certificeringstraject - DigiTrust - Spie
full color
Certificeringstraject - DigiTrust - Meander
Certificeringstraject - DigiTrust - Antoni van Leeuwenhoek
Certificeringstraject - DigiTrust - Ipse de Bruggen
Certificeringstraject - DigiTrust - Hosted
Certificeringstraject - DigiTrust - Hoeflake
Certificeringstraject - DigiTrust - eXperIT
Certificeringstraject - DigiTrust - Enexis
Certificeringstraject - DigiTrust - Stedin
Certificeringstraject - DigiTrust - Bizzcon
Certificeringstraject - DigiTrust - Qii
logo-sollie-zwart-zonder-tekst
logo_tcc_thecomputercompany-2
Certificeringstraject - DigiTrust - Infozorg
Certificeringstraject - DigiTrust - GGD GZ
Certificeringstraject - DigiTrust - Hihaho
Certificeringstraject - DigiTrust - ITON
Certificeringstraject - DigiTrust - Provincie brabant
Certificeringstraject - DigiTrust - Provincie Gelderland
Certificeringstraject - DigiTrust - Indicia
Certificeringstraject - DigiTrust - Nitea
Certificeringstraject - DigiTrust - informens
Certificeringstraject - DigiTrust - Cab Holland
Certificeringstraject - DigiTrust - ip4sure
Certificeringstraject - DigiTrust - Softmedia
Schermafbeelding 2021-04-14 om 17.04.54
Xinno ISO27001 certificering - certificeringstraject
Certificeringstraject - DigiTrust - The People Group
linkit-1
Certificeringstraject - DigiTrust - Iwink
Certificeringstraject - DigiTrust - Constant-IT
cab holland
Cybercloud-logo
BIT logo
Certificeringstraject - DigiTrust - Get Noticed
Certificeringstraject - DigiTrust - ARROW
Certificeringstraject - DigiTrust - Rijnmond Dokters
Logo_line_no_background
Certificeringstraject - DigiTrust - ARCHIE
rgb_full color_black@8x
Dionar achtergrond
Schermafbeelding 2023-04-22 150754
logo
Logo_TT_2021_scherm
Certificeringstraject - DigiTrust - Kaliber
Schermafbeelding 2023-08-31 212010
Certificeringstraject - DigiTrust - Vival Zorggroep
Certificeringstraject - DigiTrust - Tien
Spaarne-Gasthuis-300x152-e1481635004909
20211103-314335541-wza logo
Schermafbeelding 2024-02-13 194425
download
Treant_Logo2022_rgb_Groen-Vlak_pos
logo MMT
Vraag nu een vrijblijvende offerte aan

of bel met een van onze specialisten

088-2245600

De stappen uitgelegd

Voor ISO 27017 of ISO 27018 certificeren?

De ISO 27001 is de meest bekende en gevraagde norm waartegen wordt geaudit en DigiTrust certificeert onder accreditatie. Daarom wordt in contracten en aanbestedingen veelal naar de ISO 27001 gevraagd en niet naar de ISO 27017 of ISO 27018. Tóch zijn deze normen belangrijk voor organisaties die diensten in de cloud aanbieden en eindgebruikers van deze diensten. Meestal kiezen organisaties met clouddiensten een combinatie van ISO 27001 en ISO 27017. Organisaties die daarnaast ook veel persoonlijke gegevens verwerken kiezen meestal voor alle drie de normen. Omdat de beide normen gebaseerd zijn op de ISO 27002, is de stap om gecertificeerd te worden conform de ISO27017 en/of ISO27018 vrij klein voor organisaties die al ISO 27001 zijn gecertificeerd. Het overgrote deel van de extra maatregelen zijn al geïmplementeerd, onder meer via hostingcontracten en verwerkersovereenkomsten, maar moeten worden aangescherpt.

Tijdens de Pre-audit kijken wij of u klaar bent voor de certificering. Wat is de status van het managementsysteem? Zijn er mogelijk nog zaken niet op orde? DigiTrust kan samen met u bepalen welke onderwerpen aan de orde moeten komen tijdens deze pre-audit. Ook de tijdsduur bepalen we samen. Veelal ligt dit rond tussen 2 à 4 dagen voor een goed beeld van het managementsysteem en alle beheersmaatregelen. Na iedere pre-audit levert DigiTrust u een helder auditrapport op, waarin op detailniveau wordt beschreven waar u mogelijk dus nog niet conform de eisen werkt.

Tip; dit is een veel gekozen optie. U gaat hierdoor écht met het traject beginnen en krijgt direct een goed beeld waar u als organisatie staat.

Initiële certificering

DigiTrust toetst of het systeem werkt en functioneert volgens de eisen vanuit de ISO 27001. Deze beoordeling omvat ook de beoordeling van alle werkzaamheden op uw kantoor als op de uitvoeringslocatie. De initiële certificering bestaat uit 2 delen. De fase 1 en fase 2 audit.

Tijdens de fase 1 audit kijken we in hoofdlijnen naar uw management systeem (ISMS) en of u wel echt klaar bent voor de fase 2 audit. Ook gaan we samen het auditplan maken voor de fase 2. Wie hebben we wanneer nodig.

Tijdens de fase 2 audit toetsen we het ISMS en alle beheersmaatregelen.

Fase 1

Tijdens de fase 1 audit kijken we in hoofdlijnen naar uw management systeem (ISMS) en of u wel echt klaar bent voor de fase 2 audit. Ook gaan we samen het auditplan maken voor de fase 2. Wie hebben we wanneer nodig.

Fase 2

Tijdens de fase 2 audit toetsen we het ISMS en alle beheersmaatregelen.

Uitgifte certificaat

Bij een positieve beoordeling zal de auditor de organisatie voordragen ter certificatie. De certificatiemanager doet een kwaliteitscontrole op het dossier. Als alles in orde is ontvangt u de ISO 27001 certificering.

Controle 1

Gedurende de looptijd van het certificaat, die doorgaans drie jaar betreft, zal DigiTrust jaarlijks een controleaudit uitvoeren. Tijdens een controle audit nemen we een steekproef op de verschillende norm elementen. Bij een positieve beoordeling zal het lopende certificaat worden voortgezet.

Controle 2

DigiTrust komt ongeveer drie maanden voor het aflopen van het certificaat langs voor de herbeoordeling. Deze beoordeling is van dezelfde omvang als die bij stap 2 en moet ervoor zorgen dat bij een positief resultaat het certificaat met drie jaar wordt verlengd.

ISO 27017 Cloud beveiliging

De ISO 27017 stelt eisen aan de cloud-leveranciers maar ook aan de afnemers van deze clouddiensten. De norm bevat cloud-specifieke beheersmaatregelen, waarbij het niet uitmaakt wat voor soort gegevens er wordt verwerkt. De norm spreekt over “Cloud service customer” en over “Cloud service provider”. Er zijn specifieke- en generieke eisen voor de klant én provider vastgesteld. De ISO 27017 heeft 37 eisen aanvullend op de ISO27002 beheersmaatregelen en nog eens zeven extra maatregelen vastgesteld.

ISO 27018 Privacy bescherming

De ISO 27018 is alleen bedoeld voor cloud aanbieders die persoonsgegevens verwerken (de norm noemt dit Personally Identifiable Information, PII) en richt zich op de beveiliging en behandeling van deze gegevens. Denk aan persoonlijke gegevens van klanten, gezondheids- en patiëntinformatie of informatie over burgers. Voor veel afnemers geeft een ISO27018 certificering van de clouddienst aanbieder extra zekerheid dat deze gevoelige data niet in verkeerde handen komt. De norm is ook gebaseerd op de ISO 27002, maar heeft een aanvullende set van beheersmaatregelen specifiek gericht op het beschermen van persoonsgegevens. Denk daarbij aan toestemming, gegevensminimalisatie en privacy klachten. Geheel in lijn met de eisen uit de AVG.

Vragen over een ISO 27017 en ISO 27018 of benieuwd naar de mogelijkheden?

Onze specialisten vertellen u daar graag meer over. Bel ons op telefoonnummer 088-224 56 00, stuur ons een e-mail naar sales@digitrust.nl of gebruik ons online contactformulier. We komen graag bij u langs voor een vrijblijvende kennismaking.

Lees hier meer over het aanschaffen van de betreffende norm.

Vraag nu een vrijblijvende offerte aan

Al meer dan 300 organisaties gingen u voor.