ISO 27017 en ISO 27018

Kom meer te weten

"

DigiTrust certificeert Clouddiensten conform ISO 27017 én ISO 27018

Organisaties die clouddiensten aanbieden (Infrastructuur- of Platform- of Software als een Service) én de afnemers van deze clouddiensten, willen steeds meer aanvullende garanties dat hun gegevens echt goed beveiligd zijn. Met de ISO 27017 en ISO 27018 certificeringen van DigiTrust kunnen bedrijven exact dat aantonen. De beide normen zijn bedoeld voor clouddiensten, waarmee aangetoond wordt dat de beveiliging van informatie in de cloud goed is geborgd.

Context

De ISO 27001 beschrijft de eisen van een managementsysteem voor informatiebeveiliging. In deze norm wordt verwezen naar de Annex A beheersmaatregelen. Deze zijn verder uitgewerkt in de ISO 27002. De ISO 27017 en ISO 27018 zijn gebaseerd op de ISO 27002. De normen zijn echter verschillend en hebben een andere bedoeling. De normen zorgen er niet alleen voor dat de Cloud Service Providers de data van de klanten goed beschermen, maar geven ook belangrijke verplichtingen om te communiceren met de klanten in het geval van problemen. Daarnaast moet er een contract aanwezig zijn waarin vastgesteld wordt dat de data beveiligd blijft en de provider alleen met toestemming van de klant toegang kan krijgen tot die data.

 

Charlotte Louws

Accountmanager Informatiebeveiliging

   

+31(0)6 25 53 68 65

+31(0)88 2245600

Aanverwante diensten

ISO 27017 – Cloud beveiliging

De ISO 27017 stelt eisen aan de cloud-leveranciers maar ook aan de afnemers van deze clouddiensten. De norm bevat cloud-specifieke beheersmaatregelen, waarbij het niet uitmaakt wat voor soort gegevens er wordt verwerkt. De norm spreekt over “Cloud service customer” en over “Cloud service provider”. Er zijn specifieke- en generieke eisen voor de klant én provider vastgesteld. De ISO 27017 heeft 37 eisen aanvullend op de ISO27002 beheersmaatregelen en nog eens zeven extra maatregelen vastgesteld.

ISO 27018 – Privacy bescherming

De ISO 27018 is alleen bedoeld voor cloud aanbieders die persoonsgegevens verwerken (de norm noemt dit Personally Identifiable Information, PII) en richt zich op de beveiliging en behandeling van deze gegevens. Denk aan persoonlijke gegevens van klanten, gezondheids- en patiëntinformatie of informatie over burgers. Voor veel afnemers geeft een ISO27018 certificering van de clouddienst aanbieder extra zekerheid dat deze gevoelige data niet in verkeerde handen komt. De norm is ook gebaseerd op de ISO 27002, maar heeft een aanvullende set van beheersmaatregelen specifiek gericht op het beschermen van persoonsgegevens. Denk daarbij aan toestemming, gegevensminimalisatie en privacy klachten. Geheel in lijn met de eisen uit de AVG.

Voor welke norm certificeren?

De ISO27001 is de meest bekende en gevraagde norm waartegen wordt geaudit en DigiTrust certificeert onder accreditatie. Daarom wordt in contracten en aanbestedingen veelal naar de ISO 27001 gevraagd en niet naar de ISO 270017 of ISO 27018. Tóch zijn deze normen belangrijk voor organisaties die diensten in de cloud aanbieden en eindgebruikers van deze diensten. Meestal kiezen organisaties met clouddiensten een combinatie van ISO 27001 en ISO 27017. Organisaties die daarnaast ook veel persoonlijke gegevens verwerken kiezen meestal voor alle drie de normen. Omdat de beide normen gebaseerd zijn op de ISO 27002, is de stap om gecertificeerd te worden conform de ISO27017 en/of ISO27018 vrij klein voor organisaties die al ISO 27001 zijn gecertificeerd. Het overgrote deel van de extra maatregelen zijn al geïmplementeerd, onder meer via hostingcontracten en verwerkersovereenkomsten, maar moeten worden aangescherpt.

 

Vragen over een ISO 27001 audit of benieuwd naar de mogelijkheden voor een certificering?

Onze specialisten vertellen u daar graag meer over. Bel ons op telefoonnummer 088 224 56 00, stuur ons een e-mail naar sales@digitrust.nl of gebruik ons online contactformulier . We komen graag bij u langs voor een vrijblijvende kennismaking.

IP4Sure behaald ISO27001 certificering

Het Cyber Security bedrijf IP4Sure heeft tijdens de initiële certificeringsaudit kunnen aantonen dat ze een goed werkend managementsysteem voor informatiebeveiliging (ISMS) hebben conform de ISO27001:2017+A11:2020. En dat is een hele mooie...

GGD Gelderland-Zuid behaalt NEN7510 certificering

GGD Gelderland-Zuid heeft als eerste van de 25 GGD'en in Nederland de certificering op de nieuwe NEN7510-1:2017 onder accreditatie behaald. Tijdens de audit is aangetoond dat de GGD voor al haar processen, afdelingen en locaties (18...

Handreiking Cybersecurity maatregelen

Het NCSC publiceert een handreiking met daarin tips om stap voor stap naar een digitaal veilige organisatie te komen. Elk jaar vinden wereldwijd veel cybersecurityincidenten plaats bij organisaties. Bij deze aanvallen wordt bijvoorbeeld...

Z-CERT presenteert Eerste Hulp bij Datalekken (EHBD)

De zorgsector heeft regelmatig te maken met datalekken. Deze datalekken komen voornamelijk door malware-infecties, menselijke fouten, phishing, of door kwetsbaarheden in webapplicaties. Volgens cijfers van de Autoriteit Persoonsgegevens (AP) is 30%...

Code24 behaalt her-certificering ISO27001 en NEN7510

Code24 is al enkele jaren een trotse klant van DigiTrust. In juni is het managementsysteem voor informatiebeveiliging opnieuw beoordeeld en afgesloten met een positief resultaat. Dat is mooi voor Code24 maar zeker ook vor al hun stakeholders....

DigiTrust B.V.
Hoofdkantoor
Achtseweg Zuid 153T
5651 GW Eindhoven

Kantoor
Jean Monnetpark 11
7336 BA te Apeldoorn

088-224 56 00
sales@digitrust.nl