Informatiebeveiliging is binnen ISO onder andere ondergebracht in de ISO 27000 serie. In de managementsysteemstandaard ISO 27001 bevat Bijlage A de beheersdoelstellingen en beheersmaatregelen die een organisatie dient te overwegen bij de implementatie van haar informatiebeveiligingsmanagementsysteem. De International Organization for Standardization (ISO) heeft aanvullende begeleidingsdocumenten geschreven voor specifieke sectoren.
ISO 27017 is geschreven voor organisaties die als klant of dienstverlener betrokken zijn bij cloudoplossingen. Het bevat extra controles specifiek op het gebied van cloudbeveiliging.
ISO 27018 bevat controles gericht op cloud providers die persoonsgegevens verwerken.
Waarom?
Organisaties die in hun dienstverlening te maken krijgen met cloud service oplossingen hebben baat bij deze aanvullende beheersmaatregelen omdat deze afgestemd zijn op de dienstverlening. Door bij de certificering van een organisatie tegen ISO 27001 rekening te houden met deze aanvullende beheersmaatregelen toont een organisatie aan dat zij zich maximaal heeft ingespannen om de hoogste mate van zekerheid te bieden richting hun stakeholders.
Certificering
Tijdens de certificering tegen ISO 27001 beoordeeld Brand Compliance de extra beheersmaatregelen zoals opgenomen in de ISO 27017 en ISO 27018. Indien een organisatie deze beheersmaatregelen aantoonbaar effectief heeft geïmplementeerd wordt een aanvullend certificaat uitgereikt waarin bevestigd wordt dat de organisatie aan de extra beheersmaatregelen voldoet.
Hoe werkt het?
De beheersmaatregelen uit de ISO 27017 en ISO 27018 kunnen direct mee beoordeeld worden tijdens het reguliere certificatietraject van ISO 27001. Het is voor organisaties ook mogelijk om in een later stadium de aanvullende beheersmaatregelen te certificeren, als onderdeel van de ISO 27001.
Informatie aanvragen-
Bart Versluijs
ISO Expert
-
Jade Reilink
ISO Expert