English
Nederlands
We leven in een wereld die steeds digitaler wordt en waarin veel informatie online wordt gedeeld en opgeslagen wordt in de cloud. Het is daarom essentieel dat gebruikers van cloud software erop kunnen vertrouwen dat de data die zij delen via de cloud veilig zijn en niet in verkeerde handen vallen. Risicobeheer op het gebied van informatiebeveiliging is daarom van groot belang voor iedereen die gegevens opslaat en verwerkt in een cloudomgeving of hier diensten voor levert.
Dit is waar de ISO 27017 en ISO 27018 certificeringen om de hoek komen kijken. Deze aanvullende normen op de ISO 27001 richten zich specifiek op informatiebeveiliging en privacybescherming in cloudomgevingen. In dit blog vertellen wij meer over beide normen en waarom wij adviseren om hieraan te voldoen.
Let op: Zowel de ISO 27017 als de ISO 27018 zullen waarschijnlijk dit jaar een update krijgen.
In dit blog:
- Wat houden de ISO 27017 en ISO 27018 in?
- Waarom ISO 27017 en ISO 27018?
- Certificering voor ISO 27017 en 27018
Wat houden de ISO 27017 en ISO 27018 in?
Om de kans op risico’s te verkleinen voor zowel leveranciers als gebruikers zijn specifieke beveiligingsmaatregelen voor clouddiensten van groot belang. De ISO 27017 en ISO 27018 zijn een aanvulling op de ISO 27002 die zich specifiek richten op de beveiligingsaspecten van clouddiensten en een praktische invulling geven voor het vergroten van vertrouwen in clouddiensten. Daarnaast bieden beide normen richtlijnen om aan wetten en regelgevingen rondom clouddiensten te voldoen.
De ISO 27017 en 27018 zijn net als de ISO 27701 gebaseerd op de ISO 27001. Ze richten zich echter op verschillende aspecten van informatiebeveiliging. Zo richt de ISO 27701 zich op privacy in verband met persoonsgegevens en privacybescherming en richten de ISO 27017 en ISO 27018 zich specifiek op informatiebeveiliging en het beschermen van persoonsgegevens in clouddiensten.
Wat is ISO 27017?
ISO 27017 is een internationale norm die richtlijnen biedt voor informatiebeveiliging in cloudomgevingen en bevat momenteel 37 aanvullende eisen op de ISO 27002 beheersmaatregelen. De norm is voor zowel cloudaanbieders als -gebruikers bedoeld die hun informatiebeveiliging al hebben ingericht volgens de ISO 27001. De ISO 27017 is een aanvulling en geeft specifieke risico’s en maatregelen voor cloudaanbieders en -gebruikers. De norm biedt gebruikers bijvoorbeeld specifieke aanwijzingen om samen met de cloudaanbieder te kunnen komen tot een optimale beveiliging van hun gegevens in de cloud. Hierbij wordt ook beschreven wat de gebruiker mag verwachten en welke informatie de leverancier moet communiceren.
Wat is ISO 27018?
De ISO 27018 is een aanvulling op de ISO 27001 en ISO 27002 normen en richt zich specifiek op de bescherming van persoonsgegevens in de cloud, zoals toestemming, gegevens minimalisatie en de privacy van klanten. De norm wordt nodig geacht voor cloudaanbieders en geeft gebruikers extra zekerheid dat het bewaren van persoonsgegevens veilig gebeurt en deze niet in verkeerde handen komen. De eisen van de ISO 27018 helpen om te voldoen aan de Algemene Verordening Persoonsgegevens (AVG).
Het verschil tussen ISO 27017 en ISO 27018
Het belangrijkste verschil tussen ISO 27017 en ISO 27018 is dat de ISO 27017 zich richt op zowel leveranciers van clouddiensten als gebruikers ervan, hierbij maakt het niet uit welke soort gegevens er in de cloud worden verwerkt. De ISO 27018 richt zich daarentegen op enkel de cloudaanbieders die persoonsgegevens verwerken.
Waarom ISO 27017 en ISO 27018?
Hoewel de internationale ISO 27001 norm op het gebied van informatiebeveiliging de basis vormt, zijn ISO 27017 en ISO 27018 waardevolle toevoegingen voor cloudgebaseerde diensten en toepassingen. Wanneer gebruikers een selectie maken van clouddiensten, stellen zij namelijk steeds strengere eisen op het gebied van beveiliging en compliance. Hoewel ze niet verplicht zijn, bieden de ISO 27017 en ISO 27018 certificeringen verschillende voordelen:
- Het geeft gebruikers vertrouwen dat een cloudaanbieder rekening houdt met de implementatie van specifieke maatregelen voor de beheersing van cloud gerelateerde risico's.
- Meer duidelijkheid rondom veiligheid en verantwoordelijkheid.
- De certificeringen zorgen ervoor dat leveranciers transparanter zijn.
- Er kan beter voldaan worden aan de wettelijke verplichtingen rondom de verwerking van persoonsgegevens.
- De ISO 27017 en ISO 27018 bieden in veel gevallen ook een concurrentievoordeel. Wanneer je één of beide certificaten behaald, mag je het logo dat een certificeerder je aanbiedt plaatsen op jouw website.
Certificering behalen voor ISO 27017 en 27018
Zowel de ISO 27017 als de ISO 27018 zijn gebaseerd op de ISO 27001 en een aanvulling daarop. Met de aanvullende richtlijnen en beheersmaatregelen beschikken cloudaanbieders over extra controles om cloudspecifieke informatiebeveiligingsrisico’s te minimaliseren.
Daarom wordt een ISO 27017 of ISO 27018 certificatietraject vaak tegelijk met de ISO 27001 uitgevoerd. Wanneer je hiervoor kiest worden de extra beheersmaatregelen en implementatierichtlijnen toegevoegd aan het ISO 27001 traject.
Voldoen aan ISO 27017 en ISO 27018 met Base27
Base27 is een ISMS die je in staat stelt om eenvoudig de informatiebeveiliging conform de verschillende normen op te zetten, inclusief ondersteuning voor de AVG, ISO 27017, ISO 27018 en nog veel meer. Wanneer je dit goed hebt ingericht, is de stap naar informatiebeveiliging conform de ISO 27017 en/of ISO 27018 gemakkelijk te maken.
