ISO 27017 en ISO 27018 certifcaat

Onze informatie plaatsen we steeds meer in de cloud. Als cloudgebruiker of klant zorgt u ervoor dat informatie overal toegankelijk is en de capaciteit eenvoudig opgeschaald kan worden. De vraag naar clouddiensten wordt groter, maar daarmee ook de vraag dat deze diensten aantoonbaar veilig zijn. ISO 27017 en ISO 27018 certificaten zorgen hiervoor.

Wat houden ISO 27017 en ISO 27018 in?

Specifieke beveiligingsmaatregelen voor clouddiensten van essentieel belang, dit om risico’s te vermijden voor zowel leveranciers als afnemers. ISO 27017 en ISO 27018 geven een praktische invulling voor het bevorderen van het vertrouwen in clouddiensten Tegelijkertijd bieden de normen richtlijnen om aan wetten en regelgeving m.b.t. clouddiensten te voldoen.

NEN-ISO/IEC 27017:2015

ISO 27017 is een aanvulling op de ISO 27002 beheersmaatregelen. ISO 27002 is weer een verdieping op ISO 27001 en bestaat uit een lijst met maatregelen om risico’s te beperken of te verkleinen. In 27001 wordt een aantal verantwoordelijkheden en beveiligingsmaatregelen m.b.t. cloud security voor klant en leverancier belicht, waarbij het niet uitmaakt wat voor soort gegevens er worden verwerkt. ISO 27017 geeft meer specifieke risico’s en maatregelen voor klanten (‘cloud service costomer’) en leveranciers (‘cloud service provider’) van clouddiensten. Voor klanten worden bijvoorbeeld specifieke aanwijzingen gegeven om samen met de leverancier te komen tot optimale beveiliging van de gegevens in de cloud. De relatie tussen klant en leverancier wordt daarbij nauwkeurig beschreven; wat mag de klant verwachten en welke informatie moet de leverancier communiceren.

Voor zowel de zogenoemde ‘cloud service costomer’ als de ‘cloud service provider’ zijn generieke en specifieke eisen vastgesteld. Als aanvulling op de ISO 27002 heeft de ISO 27017 37 eisen en zeven extra maatregelen vastgesteld.

NEN-ISO/IEC 27018:2019

Waarbij de ISO 27017 zowel relevant is voor leveranciers als klanten van clouddiensten en het niet uitmaakt wat voor soort gegevens er in de cloud worden verwerkt, is dat bij de ISO 27018 wel relevant. De ISO 27018 is enkel bedoeld voor cloud aanbieders die persoonsgegevens verwerken (in ISO 27018 wordt dit Personally Identifiable Information, PII, genoemd). De norm richt zich op de beveiliging en behandeling van deze persoonsgegevens, zoals persoonlijke gegevens van klanten, gezondheids- en patiëntinformatie of informatie over burgers.

Ook deze norm heeft aanvullende beheersmaatregelen op de ISO 27002, specifiek gericht op het beschermen van persoonsgegevens. Denk daarbij aan toestemming, gegevensminimalisatie en privacy klachten. Hierbij wordt volledig rekening gehouden met de Algemene Verordening Persoonsgegevens (AVG). 

Waarom ISO 27017 of ISO 27018 certifcering?

Op het gebied van informatiebeveiliging is ISO 27001 de meest bekende en gevraagde norm. Maar als aanbieder of aannemer van clouddiensten zijn ISO 27017 en ISO 27018 waardevolle toevoegingen. Het beheer van een clouddienst vraagt namelijk specifieke en aanvullende maatregelen die in de ISO 27001 (of ook NEN 7510) niet aan bod komen. Certificering voor ISO 27017 en/of ISO 27018 bieden afnemers en stakeholders extra zekerheid dat gevoelige data niet in de verkeerde handen komt en dat de aanbieder rekening heeft gehouden met implementatie van specifieke maatregelen voor het beheersen van cloud gerelateerde risico’s . Bovendien raadt de Autoriteit Persoonsgegevens organisaties aan te voldoen aan de ISO 27018 norm, zodra zij clouddiensten gaan afnemen. Immers met de aanvullende maatregelen uit deze norm zijn leveranciers en afnemers van clouddiensten meer transparant en beter in staat te voldoen aan wettelijke verplichtingen op het gebied van verwerking van persoonsgegevens.

 

De ISO 27017 maatregelen zijn erop gericht om grip te houden op het beheer van de data. Met een ISO 27017 certificaat u uw klanten zekerheid. Zij weten voortaan waar hun gegevens staan en wie verantwoordelijk is voor de veiligheid ervan. Gaat het specifiek om persoonsgegevens, dan biedt het ISO 27018 certificaat hier een extra graad van zekerheid aan toe. Met certificering op ISO 27017 en/of 27018 behoort u tot een selecte groep bedrijven met een uitstekende informatiebeveiliging en loopt u voorop ten opzichte van andere cloudleveranciers.

Certificering van ISO 27017 en ISO 27018

ISO 27017 en ISO 27018 zijn gebaseerd op de ISO 27001. Met de aanvullende implementatierichtlijnen en beheersmaatregelen voor cloudservices implementeert u extra controles om cloudspecifieke infromatiebeveiligingsrisico’s te minimaliseren, onder controle te krijgen.

Vaak wordt een ISO 27017 of ISO 27018 certificatietraject gezamenlijk met ISO 27001 uitgevoerd. De extra beheersmaatregelen en implementatierichtlijnen worden dan toegevoegd aan het ISO 27001 traject. Enkel certificeren voor ISO 27017 of ISO 27018 kan ook, dan moet er gekeken worden welke aspecten uit de ISO 27001 geïmplementeerd dienen te worden om certificatie voor ISO 27017 of ISO 27018 doorgang te laten vinden. Maar omdat beide normen zijn gebaseerd op ISO 27002 is de combinatie met ISO 27001 relatief eenvoudig te maken.

ISO 27017 of ISO 27018 certificering bij TÜV NORD

Wilt u ISO 27017 of ISO 27018 certificering voor uw organisatie gaan behalen? Onze vakkundige professionals hebben buitengewone ervaring op het gebied van informatiebeveiliging en beoordelen op een praktische, nuchtere en laagdrempelige wijze uw aanpak.

Naast ISO 27017 en 27018 certificering bieden we u uiteraard ook andere veel voorkomende vormen van certificering zoals ISO 27001, IEC 62443 en ISO 9001 zodat u alles zorgeloos bij één certificatieleverancier onder kunt brengen. Vervolgens kijken we graag met u samen hoe we het meest efficiënt de jaarlijkse audits in kunnen plannen. Vraag vandaag nog ISO 27017 of ISO 27018 certificering aan bij TÜV NORD of stel uw vraag.

Waarom TÜV NORD voor jou een sterke partner is

 

Onafhankelijkheid
TÜV NORD Nederland is een technische en zakelijke serviceprovider in onafhankelijke beoordeling zoals certificering, keuring, inspectie en training. We bevorderen sinds 1981 veiligheid, kwaliteit, betrouwbaarheid en leefomgeving.

Expertise
Je hebt één van onze experts aan je zijde. TÜV NORD heeft een team van experts op het gebied van cybersecurity, die geaccrediteerd zijn voor certificering, testen en inspectiediensten.

Internationaal expertnetwerk
Wij zijn onderdeel van de TÜV NORD GROUP, met tienduizenden activiteiten in 70 landen en meer dan 10.000 werknemers (in FTE). Wij ondersteunen bij al je IT-vraagstukken, ook over de grens.

Industriële ervaring
In Nederland beoordelen onze ruim 300 vakmensen dagelijks producten, diensten, systemen, arbeidsmiddelen, transportmiddelen, machines en cybersecurity. Dat doen we in de meest uiteenlopende branches.

Praktisch en laagdrempelig
TÜV NORD Nederland onderscheidt zich door haar nuchtere, laagdrempelige en praktijkgerichte kijk op beoordelen. Wij maken aantoonbaar dat jouw organisatie voldoet aan de gestelde eisen voor betrouwbaarheid.

Gericht op verbetering
Tijdens onze beoordelingen identificeren we heel feitelijk risico’s en pijnpunten, om draagvlak voor verbetering te verkrijgen. We helpen bedrijfsrisico’s zoveel mogelijk te beperken en ondersteunen de continuïteit van jouw organisatie.

Heb je vragen of opmerkingen? Stuur ons een bericht!
Neem direct contact op met onze specialist via