Wat is ISO 27017 en ISO 27018?

Informatiebeveiliging is binnen ISO onder andere ondergebracht in de ISO 27000 serie. In de managementsysteemstandaard ISO 27001 bevat Bijlage A de beheersdoelstellingen en beheersmaatregelen die een organisatie dient te overwegen bij de implementatie van haar informatiebeveiligingsmanagementsysteem. De International Organization for Standardization (ISO) heeft aanvullende begeleidingsdocumenten geschreven voor specifieke sectoren.

Voor organisaties die betrokken zijn bij Cloud oplossingen in de rol van klant dan wel in de rol van serviceprovider heeft ISO de ISO 27017 geschreven waarin aanvullende beheersmaatregelen zijn opgenomen specifiek op het gebied van Cloud beveiliging.

De ISO 27018 bevat beheersmaatregelen specifiek bedoelt voor Cloud aanbieders die persoonsgegevens verwerken.

Waarom?

Organisaties die in hun dienstverlening te maken krijgen met Cloud service oplossingen hebben baat bij deze aanvullende beheersmaatregelen omdat deze afgestemd zijn op de dienstverlening. Door bij de certificering van een organisatie tegen ISO 27001 rekening te houden met deze aanvullende beheersmaatregelen toont een organisatie aan dat zij zich maximaal heeft ingespannen om de hoogste mate van zekerheid te bieden richting hun stakeholders.

ISO 27017 en ISO 27018 Certificering

Tijdens de certificering tegen ISO 27001 beoordeeld Brand Compliance de extra beheersmaatregelen zoals opgenomen in de ISO 27017 en ISO 27018. Indien een organisatie deze beheersmaatregelen aantoonbaar effectief heeft geïmplementeerd wordt een aanvullend certificaat uitgereikt waarin bevestigd wordt dat de organisatie aan de extra beheersmaatregelen voldoet.

Hoe werkt het?

De beheersmaatregelen uit de ISO 27017 en ISO 27018 kunnen direct mee beoordeeld worden tijdens het reguliere certificatietraject van ISO 27001. Het is voor organisaties ook mogelijk om in een later stadium de aanvullende beheersmaatregelen te certificeren, als onderdeel van de ISO 27001.