Informatiebeveiliging & Bedrijfscontinuïteit ISO 27017 & 27018.

De ISO 27017 & ISO 27018 zijn aanvullingen op de ISO 27001 voor informatiebeveiliging en beschrijven verschillende richtlijnen voor Cloud Security.

De norm ISO 27017 biedt specifieke richtlijnen voor de beveiliging van clouddiensten. De normen zijn geënt op aanbieders en afnemers binnen de Cloud community. De norm geeft in principe aanvullende specifieke beveiligingsmaatregelen welke je kunt toevoegen aan de bestaande beheersmaatregelen van de Annex A van ISO 27001. De maatregelen zijn gericht op Clouddiensten.

De ISO 27017 biedt op de reeds 114 bestaande maatregelen, 37 sector specifieke richtlijnen die geïmplementeerd moeten worden, indien van toepassing. De aanvullende richtlijnen bestaan uit de aspecten bewustwording, training en opleiding van medewerkers, maar ook een degelijke presentatie van functionaliteiten op basis van classificatie van bedrijfsmiddelen en informatiestromen/ - systemen inclusief het herzien en specificeren van autorisaties.

Verder biedt de aanvullende norm 7 aanvullende beheersdoelstellingen, welke verschillende raakvlakken kent met de reeds gepresenteerde doelstellingen van de ISO 27001. Denk aan taken, verantwoordelijkheden en bevoegdheden, maar ook asset management en het veilig ontwikkelen van software volgens een OTAP procedure.

De norm ISO 27018 is uitsluitend bedoeld voor Cloud- aanbieders die persoonsgegevens verwerken en focust zich op de beveiliging en behandeling van deze gegevens. Voorbeelden zijn persoonlijke gegevens van klanten, gezondheids- en patiëntinformatie of informatie over burgers. De standaard ISO 27018 biedt de aanbieder van de Clouddienst een extra zekerheid op het gebied van informatiebeveiliging en het verwerken van persoonsgegevens. Specifieke kenmerken voor de ISO 27018 zijn gegevensadministratie, toestemmingen en privacy(klachten). Een breed kader als we kijken naar de eisen uit de AVG.

ISO 27018 kent in basis dezelfde principes als de ISO 27001 en staat in lijn met privacy vereisten, zoals genoemd in de AVG en de privacy principes uit ISO 29100. De ISO 27018 vermeld specifiek aanvullende doelen, eisen of richtlijnen waaraan aanbieders van Clouddiensten die persoonsgegevens verwerken moeten voldoen. In basis zijn dit aanvullingen ten aanzien van cryptografische maatregelen, procedures ten aanzien van het uitvoeren van Back-ups, maar ook de restore van back-ups. Dit zijn dus de reeds bekende maatregelen uit de ISO 27001, waar specifieke eisen aan toegevoegd worden. Daarnaast biedt de norm verschillende privacy uitgangspunten zoals privacy compliance statements, procedure melden van datalekken, geheimhoudingsplichten, dataminimalisaties, subverwerking, retentie en het uitwisselen van data.

Hulp nodig bij security vraagstukken?

KVGM helpt graag en houdt wel van een kopje koffie.

Profiel foto Ruud Wilms

KVGM gebruikt bij de implementatie van verschillende informatiebeveiligingstrajecten de kennis van bedrijfskundige, informatiebeveiligingsspecialisten en juristen om zo een efficiënt en duurzaam managementsysteem op te zetten dat waarde toevoegt aan een organisatie en helpt bij het continu verbeteren.

Ruud@kvgm.nl +31 611 381 554