MENU
    1. Certificaten & Keurmerken
    2. ISO certificaat
    3. ISO 27017 en ISO 27018

Certificeren van clouddiensten

Onze informatie plaatsen we steeds meer in de cloud. Als cloudgebruiker of klant zorgt u ervoor dat informatie overal toegankelijk is en de capaciteit eenvoudig opgeschaald kan worden. De vraag naar clouddiensten wordt groter, maar daarmee ook de vraag dat deze diensten aantoonbaar veilig zijn. ISO 27017 en ISO 27018 certificaten zorgen hiervoor.

Wat houden ISO 27017 en ISO 27018 in?

Specifieke beveiligingsmaatregelen voor clouddiensten van essentieel belang, dit om risico’s te vermijden voor zowel leveranciers als afnemers. ISO 27017 en ISO 27018 geven een praktische invulling voor het bevorderen van het vertrouwen in clouddiensten Tegelijkertijd bieden de normen richtlijnen om aan wetten en regelgeving m.b.t. clouddiensten te voldoen.

NEN-ISO/IEC 27017:2015

ISO 27017 is een aanvulling op de ISO 27002 beheersmaatregelen. ISO 27002 is weer een verdieping op ISO 27001 en bestaat uit een lijst met maatregelen om risico’s te beperken of te verkleinen. In 27001 wordt een aantal verantwoordelijkheden en beveiligingsmaatregelen m.b.t. cloud security voor klant en leverancier belicht, waarbij het niet uitmaakt wat voor soort gegevens er worden verwerkt. ISO 27017 geeft meer specifieke risico’s en maatregelen voor klanten (‘cloud service costomer’) en leveranciers (‘cloud service provider’) van clouddiensten. Voor klanten worden bijvoorbeeld specifieke aanwijzingen gegeven om samen met de leverancier te komen tot optimale beveiliging van de gegevens in de cloud. De relatie tussen klant en leverancier wordt daarbij nauwkeurig beschreven; wat mag de klant verwachten en welke informatie moet de leverancier communiceren.

Voor zowel de zogenoemde ‘cloud service costomer’ als de ‘cloud service provider’ zijn generieke en specifieke eisen vastgesteld. Als aanvulling op de ISO 27002 heeft de ISO 27017 37 eisen en zeven extra maatregelen vastgesteld.

NEN-ISO/IEC 27018:2019

Waarbij de ISO 27017 zowel relevant is voor leveranciers als klanten van clouddiensten en het niet uitmaakt wat voor soort gegevens er in de cloud worden verwerkt, is dat bij de ISO 27018 wel relevant. De ISO 27018 is enkel bedoeld voor cloud aanbieders die persoonsgegevens verwerken (in ISO 27018 wordt dit Personally Identifiable Information, PII, genoemd). De norm richt zich op de beveiliging en behandeling van deze persoonsgegevens, zoals persoonlijke gegevens van klanten, gezondheids- en patiëntinformatie of informatie over burgers.

Ook deze norm heeft aanvullende beheersmaatregelen op de ISO 27002, specifiek gericht op het beschermen van persoonsgegevens. Denk daarbij aan toestemming, gegevensminimalisatie en privacy klachten. Hierbij wordt volledig rekening gehouden met de Algemene Verordening Persoonsgegevens (AVG). 

Waarom ISO 27017 of ISO 27018 certifcering?

Op het gebied van informatiebeveiliging is ISO 27001 de meest bekende en gevraagde norm. Maar als aanbieder of aannemer van clouddiensten zijn ISO 27017 en ISO 27018 waardevolle toevoegingen. Het beheer van een clouddienst vraagt namelijk specifieke en aanvullende maatregelen die in de ISO 27001 (of ook NEN 7510) niet aan bod komen. Certificering voor ISO 27017 en/of ISO 27018 bieden afnemers en stakeholders extra zekerheid dat gevoelige data niet in de verkeerde handen komt en dat de aanbieder rekening heeft gehouden met implementatie van specifieke maatregelen voor het beheersen van cloud gerelateerde risico’s . Bovendien raadt de Autoriteit Persoonsgegevens organisaties aan te voldoen aan de ISO 27018 norm, zodra zij clouddiensten gaan afnemen. Immers met de aanvullende maatregelen uit deze norm zijn leveranciers en afnemers van clouddiensten meer transparant en beter in staat te voldoen aan wettelijke verplichtingen op het gebied van verwerking van persoonsgegevens.

 

De ISO 27017 maatregelen zijn erop gericht om grip te houden op het beheer van de data. Met een ISO 27017 certificaat u uw klanten zekerheid. Zij weten voortaan waar hun gegevens staan en wie verantwoordelijk is voor de veiligheid ervan. Gaat het specifiek om persoonsgegevens, dan biedt het ISO 27018 certificaat hier een extra graad van zekerheid aan toe. Met certificering op ISO 27017 en/of 27018 behoort u tot een selecte groep bedrijven met een uitstekende informatiebeveiliging en loopt u voorop ten opzichte van andere cloudleveranciers.

Certificering van ISO 27017 en ISO 27018

ISO 27017 en ISO 27018 zijn gebaseerd op de ISO 27001. Met de aanvullende implementatierichtlijnen en beheersmaatregelen voor cloudservices implementeert u extra controles om cloudspecifieke infromatiebeveiligingsrisico’s te minimaliseren, onder controle te krijgen.

Vaak wordt een ISO 27017 of ISO 27018 certificatietraject gezamenlijk met ISO 27001 uitgevoerd. De extra beheersmaatregelen en implementatierichtlijnen worden dan toegevoegd aan het ISO 27001 traject. Enkel certificeren voor ISO 27017 of ISO 27018 kan ook, dan moet er gekeken worden welke aspecten uit de ISO 27001 geïmplementeerd dienen te worden om certificatie voor ISO 27017 of ISO 27018 doorgang te laten vinden. Maar omdat beide normen zijn gebaseerd op ISO 27002 is de combinatie met ISO 27001 relatief eenvoudig te maken.

ISO 27017 of ISO 27018 certificering bij TÜV Nederland

Wilt u ISO 27017 of ISO 27018 certificering voor uw organisatie gaan behalen? Onze vakkundige professionals hebben buitengewone ervaring op het gebied van informatiebeveiliging en beoordelen op een praktische, nuchtere en laagdrempelige wijze uw aanpak.

Naast ISO 27017 en 27018 certificering bieden we u uiteraard ook andere veel voorkomende vormen van certificering zoals ISO 27001, IEC 62443 en ISO 9001 zodat u alles zorgeloos bij één certificatieleverancier onder kunt brengen. Vervolgens kijken we graag met u samen hoe we het meest efficiënt de jaarlijkse audits in kunnen plannen. Vraag vandaag nog ISO 27017 of ISO 27018 certificering aan bij TÜV Nederland of stel uw vraag.

Deel deze pagina

Informatie en offertes voor certificering

Afdeling Sales Certification

Afdeling Sales Certificatie
TÜV Nederland

0499 - 339 525

Stel uw vraag over
Certificering van managementsystemen, keurmerken en andere schema's