ISO 27017 en ISO 27018

Kom meer te weten

"

DigiTrust certificeert Clouddiensten conform ISO 27017 én ISO 27018

Organisaties die clouddiensten aanbieden (Infrastructuur- of Platform- of Software als een Service) én de afnemers van deze clouddiensten, willen steeds meer aanvullende garanties dat hun gegevens echt goed beveiligd zijn. Met de ISO 27017 en ISO 27018 certificeringen van DigiTrust kunnen bedrijven exact dat aantonen. De beide normen zijn bedoeld voor clouddiensten, waarmee aangetoond wordt dat de beveiliging van informatie in de cloud goed is geborgd.

Context

De ISO 27001 beschrijft de eisen van een managementsysteem voor informatiebeveiliging. In deze norm wordt verwezen naar de Annex A beheersmaatregelen. Deze zijn verder uitgewerkt in de ISO 27002. De ISO 27017 en ISO 27018 zijn gebaseerd op de ISO 27002. De normen zijn echter verschillend en hebben een andere bedoeling. De normen zorgen er niet alleen voor dat de Cloud Service Providers de data van de klanten goed beschermen, maar geven ook belangrijke verplichtingen om te communiceren met de klanten in het geval van problemen. Daarnaast moet er een contract aanwezig zijn waarin vastgesteld wordt dat de data beveiligd blijft en de provider alleen met toestemming van de klant toegang kan krijgen tot die data.

ISO 27017 – Cloud beveiliging

De ISO 27017 stelt eisen aan de cloud-leveranciers maar ook aan de afnemers van deze clouddiensten. De norm bevat cloud-specifieke beheersmaatregelen, waarbij het niet uitmaakt wat voor soort gegevens er wordt verwerkt. De norm spreekt over “Cloud service customer” en over “Cloud service provider”. Er zijn specifieke- en generieke eisen voor de klant én provider vastgesteld. De ISO 27017 heeft 37 eisen aanvullend op de ISO27002 beheersmaatregelen en nog eens zeven extra maatregelen vastgesteld.

ISO 27018 – Privacy bescherming

De ISO 27018 is alleen bedoeld voor cloud aanbieders die persoonsgegevens verwerken (de norm noemt dit Personally Identifiable Information, PII) en richt zich op de beveiliging en behandeling van deze gegevens. Denk aan persoonlijke gegevens van klanten, gezondheids- en patiëntinformatie of informatie over burgers. Voor veel afnemers geeft een ISO27018 certificering van de clouddienst aanbieder extra zekerheid dat deze gevoelige data niet in verkeerde handen komt. De norm is ook gebaseerd op de ISO 27002, maar heeft een aanvullende set van beheersmaatregelen specifiek gericht op het beschermen van persoonsgegevens. Denk daarbij aan toestemming, gegevensminimalisatie en privacy klachten. Geheel in lijn met de eisen uit de AVG.

Voor welke norm certificeren?

De ISO27001 is de meest bekende en gevraagde norm waartegen wordt geaudit en DigiTrust certificeert onder accreditatie. Daarom wordt in contracten en aanbestedingen veelal naar de ISO 27001 gevraagd en niet naar de ISO 270017 of ISO 27018. Tóch zijn deze normen belangrijk voor organisaties die diensten in de cloud aanbieden en eindgebruikers van deze diensten. Meestal kiezen organisaties met clouddiensten een combinatie van ISO 27001 en ISO 27017. Organisaties die daarnaast ook veel persoonlijke gegevens verwerken kiezen meestal voor alle drie de normen. Omdat de beide normen gebaseerd zijn op de ISO 27002, is de stap om gecertificeerd te worden conform de ISO27017 en/of ISO27018 vrij klein voor organisaties die al ISO 27001 zijn gecertificeerd. Het overgrote deel van de extra maatregelen zijn al geïmplementeerd, onder meer via hostingcontracten en verwerkersovereenkomsten, maar moeten worden aangescherpt.

Meer informatie

Wilt u meer informatie over de ISO 27017 of ISO 27018 certificeringen? Neem dan contact op met de specialisten van DigiTrust. Bel 088-2245600 of mail naar info@digitrust.nl.

Vragen over een ISO 27001 audit of benieuwd naar de mogelijkheden voor een certificering?

Onze specialisten vertellen u daar graag meer over. Bel ons op telefoonnummer 088 224 56 00, stuur ons een e-mail naar info@digitrust.nl of gebruik ons online contactformulier . We komen graag bij u langs voor een vrijblijvende kennismaking.

Nieuws

Hosted XL behaalt ISO27001 certificering voor de 2e keer

Onze klant Hosted XL heeft tijdens de hercertificering audit opnieuw aangetoond dat ze een goed werkend managementsysteem voor informatiebeveiliging hebben conform de ISO27001:2017. In 2017 is de eerste certificering behaald. Een certificatie periode van 3 jaar...

Let op; nieuwe versie ISO27001 en NEN7510 gepubliceerd

De twee belangrijkste normen voor informatiebeveiliging, NEN-EN-ISO/IEC 27001 en NEN 7510-1 hebben een nieuwe versie gekregen. Belangrijk om te weten voor alle consultants, klanten en andere stakeholders van deze normen. Het gaat om een beperkte wijziging, zoals de...

Wat kan ik verwachten van het certificeringstraject?

Informatiebeveiliging wordt een steeds belangrijker onderwerp, ook voor je klanten en relaties. Zij willen dan ook graag zeker weten dat dit goed geregeld is en dat ze geen risico lopen. Met het ISO 27001-certificaat kun je aantonen dat je een goed managementsysteem...

DigiTrust B.V.
Jean Monnetpark 11
7336 BA Apeldoorn
088-224 56 00