ISO 27017 en ISO 27018

De internationale normen voor Cloud Security

Veel organisaties maken tegenwoordig gebruik van cloudoplossingen, van on-premise tot public cloud of complexere combinaties zoals een hybrid-cloud of een multi-cloud oplossing. De uitdaging voor aanbieders van dergelijke oplossingen is het overtuigen van de klant van een goede beveiliging van de bedrijfsgegevens en privacygevoelige informatie, zoals persoonsgegevens. De ISO 27017 en ISO 17018 normen bieden hiervoor een oplossing.

ISO 27017 en ISO 27018

Zowel de ISO 27017 norm als de ISO 27018 norm bouwen voort op de beheersmaatregelen uit de Annex van de ISO 27001 norm voor Informatiebeveiliging. ISO 27017 geeft specifieke beveiligingsrichtlijnen voor aanbieders en afnemers van clouddiensten door aanvullende specifieke implementatierichtlijnen toe te voegen aan bestaande beheersmaatregelen uit de Annex van de ISO 27001 norm. Daarnaast geeft de ISO 27017 extra aanvullende beheersmaatregelen bovenop de reeds bekende controls, specifiek gericht op clouddiensten.
ISO 27018 is alleen voor aanbieders van clouddiensten en richt zich op het beveiligen en behandelen van persoonsgegevens. Onder deze persoonlijk identificeerbare informatie (PII) vallen onder meer persoonsgegevens van medewerkers van klanten, gezondheidsinformatie en BSN. Deze gegevens mogen slechts vanuit strikte wettelijke eisen op een passende wijze verwerkt en beveiligd worden, zoals bijvoorbeeld door de AVG gesteld. De ISO 27018 is eveneens gebaseerd op de beheersmaatregelen in de Annex van de ISO 27001, maar geeft specifieke aanvullende beheersdoelstellingen, maatregelen en richtlijnen die gericht zijn op het beschermen van persoonsgegevens in de cloud.

Laat QSN jouw organisatie begeleiden bij de implementatie van ISO 27017 en/of ISO 27018

Onze consultants kunnen jouw organisatie helpen bij het opzetten, implementeren en verbeteren van een managementsysteem voor Informatiebeveiliging, ingericht op Cloud Security dat voldoet aan de eisen van ISO 27001, ISO 27017 en/of ISO27018. Weten hoe we dat doen? Plan een vrijblijvend adviesgesprek met ons in, wij vertellen je graag meer!

Plan adviesgesprek

ISO 27001 als basis voor de Cloud Security normen

De internationale standaard ISO 27001 is de internationale norm voor informatiebeveiliging, waarmee je organisatie bewijst de risico’s op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid van informatie op een adequate en integere manier zijn afgedekt. Denk hierbij bijvoorbeeld aan risico’s als:

  • Datalekken door onbewust handelen van personeelsleden.
  • Uitval van systemen door onvoldoende testen van een update.
  • Insluiper die zich voordoet als een leverancier.

De ISO 27001 formuleert eisen voor het opzetten van een managementsysteem voor informatiebeveiliging en benoemt daarnaast diverse beheersdoelstellingen en -maatregelen op onder andere de volgende gebieden:

  • Informatiebeveiligingsbeleid.
  • Veilig personeel.
  • Toegangsbeveiliging tot systemen en de fysieke omgeving.
  • Leveranciersbeheersing.
  • Omgaan met incidenten en calamiteiten.

Met de toevoeging van ISO 27017 en/of ISO 27018 is de beveiliging van de clouddienst aantoonbaar onder controle. Een ISO 27017 en/of ISO 27018 certificaat als aanvulling op ISO 27001 laat zien dat jouw organisatie beveiliging van (persoons)gegevens in de cloud op een adequate en integere manier afdekt.

Klanten, ketenpartijen en overheden vragen om aantoonbaarheid, nu en in de toekomst

De afgelopen jaren heeft clouddienstverlening een grote vlucht genomen. Ook de komende jaren zullen ontwikkelingen naar verwachting in een hoog tempo doorgaan. Zo zal er naar verwachting nog meer gebruik gemaakt gaan worden van multi-cloud oplossingen, waarbij klanten hun ‘draagbare’ data in verschillende clouds kunnen onderbrengen, zoals AWS, Microsoft Azure en Google Cloud. Ook Cloud Data Management (CDM) om beschikbaarheid van de data beter te managen binnen de diverse storage omgevingen zal naar verwachting meer worden ingezet en ook de verwachtingen van klanten aan snelle back-up en replicatie oplossingen zullen toenemen met het beschikbaar komen van nieuwe technologieën. Door het implementeren van de ISO 27017 en 27018 normen kan je op een laagdrempelige wijze meer vertrouwen geven op het vlak van beschikbaarheid, integriteit en vertrouwelijkheid van de clouddata aan (potentiele) afnemers van je clouddiensten en andere verwerkingsverantwoordelijken en verwerkers in de keten.

Meer informatie?

Meer weten? Neem contact met ons op. We vertellen je graag alles over de mogelijkheden. Je kan ook alvast deze Whitepaper lezen.

Contact