Neem contact op

ISO 27017 & ISO 27018

De internationale normen voor Cloud Security

Veel organisaties maken tegenwoordig gebruik van cloudoplossingen, van on-premise tot public cloud of complexere combinaties zoals een hybrid-cloud of een multi-cloud oplossing. De uitdaging voor aanbieders van dergelijke oplossingen is het overtuigen van de klant van een goede beveiliging van de bedrijfsgegevens en privacygevoelige informatie, zoals persoonsgegevens. De ISO 27017 en ISO 27018 normen bieden hiervoor een oplossing.

Uitleg over normen Cloud Security

Wat is ISO 27017?

Zowel de ISO 27017 norm als de ISO 27018 norm bouwen voort op de beheersmaatregelen uit de Annex A van de ISO 27001 norm voor Informatiebeveiliging. ISO 27017 geeft specifieke beveiligingsrichtlijnen voor aanbieders en afnemers van clouddiensten door aanvullende specifieke implementatierichtlijnen toe te voegen aan bestaande beheersmaatregelen uit de Annex A van de informatiebeveiligingsnorm. Daarnaast geeft de ISO 27017 extra aanvullende beheersmaatregelen bovenop de reeds bekende controls, specifiek gericht op clouddiensten.

Wat is ISO 27018?

ISO 27018 is alleen voor aanbieders van clouddiensten en richt zich op het beveiligen en behandelen van persoonsgegevens. Onder deze persoonlijk identificeerbare informatie (PII) vallen onder meer persoonsgegevens van medewerkers en klanten, gezondheidsinformatie en BSN. Deze gegevens mogen slechts vanuit strikte wettelijke eisen op een passende wijze verwerkt en beveiligd worden, zoals bijvoorbeeld de AVG stelt. De ISO 27018 is eveneens gebaseerd op de beheersmaatregelen in de Annex A van de ISO 27001, maar geeft specifieke aanvullende beheersdoelstellingen, maatregelen en richtlijnen die gericht zijn op het beschermen van persoonsgegevens in de cloud.

Hoe kunnen wij helpen?

Onze consultants kunnen jouw organisatie helpen bij het opzetten, implementeren en verbeteren van een managementsysteem voor Informatiebeveiliging, ingericht op Cloud Security dat voldoet aan de eisen van ISO 27001, ISO 27017 en/of ISO27018. Weten hoe we dat doen? Plan een vrijblijvend adviesgesprek met ons in, wij vertellen je graag meer!

Contact

Meest gestelde vragen

We zetten de meest gestelde vragen over ISO 27017 en ISO 27018 voor je op een rijtje.

De afgelopen jaren heeft clouddienstverlening een grote vlucht genomen. Ook de komende jaren zullen ontwikkelingen naar verwachting in een hoog tempo doorgaan. Zo zal er naar verwachting nog meer gebruik gemaakt gaan worden van multi-cloud oplossingen, waarbij klanten hun ‘draagbare’ data in verschillende clouds kunnen onderbrengen, zoals AWS, Microsoft Azure en Google Cloud. Ook Cloud Data Management (CDM) om beschikbaarheid van de data beter te managen binnen de diverse storage omgevingen zal naar verwachting meer worden ingezet en ook de verwachtingen van klanten aan snelle back-up en replicatie oplossingen zullen toenemen met het beschikbaar komen van nieuwe technologieën. Door het implementeren van de ISO 27017 en 27018 normen kan je op een laagdrempelige wijze meer vertrouwen geven op het vlak van beschikbaarheid, integriteit en vertrouwelijkheid van de clouddata aan (potentiele) afnemers van je clouddiensten en andere verwerkingsverantwoordelijken en verwerkers in de keten.

De voordelen van een managementsysteem conform de eisen van ISO 27017 en/of ISO 27018 zijn:

  • Beheer van clouddiensten vraagt specifieke een aanvullende maatregelen, die niet in ISO 27001 aanbod komen.
  • Het biedt zekerheid dat gevoelige informatie niet in de verkeerde handen terecht komt.
  • Meer transparantie tussen leveranciers en afnemers van clouddiensten.
  • Aantoonbaar voldoen aan wet- en regelgeving op het gebied van verwerking van persoonsgegevens.
  • Concurrentievoordeel omdat weinig organisaties op deze normen zijn gecertificeerd.

De  ISO 27001 is de internationale norm voor informatiebeveiliging, waarmee de organisatie bewijst de risico’s op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid van informatie op een adequate en integere manier zijn afgedekt. Denk hierbij bijvoorbeeld aan risico’s als:

  • Datalekken door onbewust handelen van personeelsleden.
  • Uitval van systemen door onvoldoende testen van een update.
  • Insluiper die zich voordoet als een leverancier.

De ISO 27001 formuleert eisen voor het opzetten van een managementsysteem voor informatiebeveiliging en benoemt daarnaast diverse beheersdoelstellingen en -maatregelen op onder andere de volgende gebieden:

  • Informatiebeveiligingsbeleid.
  • Veilig personeel.
  • Toegangsbeveiliging tot systemen en de fysieke omgeving.
  • Leveranciersbeheersing.
  • Omgaan met incidenten en calamiteiten.

Met de toevoeging van ISO 27017 en/of ISO 27018 is de beveiliging van de clouddienst aantoonbaar onder controle. Een ISO 27017 en/of ISO 27018 certificaat als aanvulling op ISO 27001 laat zien dat jouw organisatie beveiliging van (persoons)gegevens in de cloud op een adequate en integere manier afdekt.

Relevante downloads