Veel organisaties maken tegenwoordig gebruik van cloudoplossingen, van on-premise tot public cloud of complexere combinaties zoals een hybrid-cloud of een multi-cloud oplossing. De uitdaging voor aanbieders van dergelijke oplossingen is het overtuigen van de klant van een goede beveiliging van de bedrijfsgegevens en privacygevoelige informatie, zoals persoonsgegevens. De ISO 27017 en ISO 27018 normen bieden hiervoor een oplossing.
Zowel de ISO 27017 norm als de ISO 27018 norm bouwen voort op de beheersmaatregelen uit de Annex A van de ISO 27001 norm voor Informatiebeveiliging. ISO 27017 geeft specifieke beveiligingsrichtlijnen voor aanbieders en afnemers van clouddiensten door aanvullende specifieke implementatierichtlijnen toe te voegen aan bestaande beheersmaatregelen uit de Annex A van de informatiebeveiligingsnorm. Daarnaast geeft de ISO 27017 extra aanvullende beheersmaatregelen bovenop de reeds bekende controls, specifiek gericht op clouddiensten.
ISO 27018 is alleen voor aanbieders van clouddiensten en richt zich op het beveiligen en behandelen van persoonsgegevens. Onder deze persoonlijk identificeerbare informatie (PII) vallen onder meer persoonsgegevens van medewerkers en klanten, gezondheidsinformatie en BSN. Deze gegevens mogen slechts vanuit strikte wettelijke eisen op een passende wijze verwerkt en beveiligd worden, zoals bijvoorbeeld de AVG stelt. De ISO 27018 is eveneens gebaseerd op de beheersmaatregelen in de Annex A van de ISO 27001, maar geeft specifieke aanvullende beheersdoelstellingen, maatregelen en richtlijnen die gericht zijn op het beschermen van persoonsgegevens in de cloud.
Onze consultants kunnen jouw organisatie helpen bij het opzetten, implementeren en verbeteren van een managementsysteem voor Informatiebeveiliging, ingericht op Cloud Security dat voldoet aan de eisen van ISO 27001, ISO 27017 en/of ISO27018. Weten hoe we dat doen? Plan een vrijblijvend adviesgesprek met ons in, wij vertellen je graag meer!
We zetten de meest gestelde vragen over ISO 27017 en ISO 27018 voor je op een rijtje.
De afgelopen jaren heeft clouddienstverlening een grote vlucht genomen. Ook de komende jaren zullen ontwikkelingen naar verwachting in een hoog tempo doorgaan. Zo zal er naar verwachting nog meer gebruik gemaakt gaan worden van multi-cloud oplossingen, waarbij klanten hun ‘draagbare’ data in verschillende clouds kunnen onderbrengen, zoals AWS, Microsoft Azure en Google Cloud. Ook Cloud Data Management (CDM) om beschikbaarheid van de data beter te managen binnen de diverse storage omgevingen zal naar verwachting meer worden ingezet en ook de verwachtingen van klanten aan snelle back-up en replicatie oplossingen zullen toenemen met het beschikbaar komen van nieuwe technologieën. Door het implementeren van de ISO 27017 en 27018 normen kan je op een laagdrempelige wijze meer vertrouwen geven op het vlak van beschikbaarheid, integriteit en vertrouwelijkheid van de clouddata aan (potentiele) afnemers van je clouddiensten en andere verwerkingsverantwoordelijken en verwerkers in de keten.
De voordelen van een managementsysteem conform de eisen van ISO 27017 en/of ISO 27018 zijn:
De ISO 27001 is de internationale norm voor informatiebeveiliging, waarmee de organisatie bewijst de risico’s op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid van informatie op een adequate en integere manier zijn afgedekt. Denk hierbij bijvoorbeeld aan risico’s als:
De ISO 27001 formuleert eisen voor het opzetten van een managementsysteem voor informatiebeveiliging en benoemt daarnaast diverse beheersdoelstellingen en -maatregelen op onder andere de volgende gebieden:
Met de toevoeging van ISO 27017 en/of ISO 27018 is de beveiliging van de clouddienst aantoonbaar onder controle. Een ISO 27017 en/of ISO 27018 certificaat als aanvulling op ISO 27001 laat zien dat jouw organisatie beveiliging van (persoons)gegevens in de cloud op een adequate en integere manier afdekt.