ISO 27018 est le code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans les cloud publics. Nous allons explorer ce que cela signifie à la fois pour les fournisseurs et les clients.
ISO/IEC 27018 est la norme internationale pour la protection des informations personnelles dans le stockage cloud. Le terme désignant les données personnelles qu'elles couvrent est Informations personnelles identifiables ou PII. ISO 27018 est un code de bonnes pratiques destiné aux fournisseurs de services de cloud public.
La norme ISO 27018 fait deux choses :
Ces contrôles supplémentaires ne sont pas couverts par la norme ISO 27002.
La norme ISO 27018 donne des lignes directrices génériques convenues sur les catégories de sécurité de l'information. La norme cible les fournisseurs de services de cloud public qui agissent en tant que processeurs de PII.
Ses principaux objectifs sont les suivants :
Selon le rapport 2020 sur les violations de données d'IBM Security, 80 % de toutes les violations de données impliquent des informations personnelles. La sécurisation des informations personnelles couvre une série de mesures, dont certaines vous sont déjà familières. Ceux-ci inclus:
Le Bureau du commissaire à l'information (ICO) du Royaume-Uni donne des indications complètes sur ce qui compte comme informations personnelles. Tu peux le lire ici.
Un processeur PII est tout fournisseur de services de cloud public qui traite des données personnelles pour leurs clients. N'oubliez pas que le client d'origine peut être le responsable du traitement des informations personnelles, ce qui crée pour lui des obligations juridiques distinctes. La norme ISO/IEC 27018 ne couvre aucune de ces exigences supplémentaires.
ISMS.online rend la configuration et la gestion de votre ISMS aussi simple que possible.
Nous ne pouvons penser à aucune entreprise dont le service peut rivaliser avec ISMS.online.
Pouvez-vous identifier qui est quelqu’un à partir des données qu’il vous fournit ? Si vous le pouvez, il s’agit d’informations personnellement identifiables. Par définition, les informations personnelles sont des informations qui pourraient permettre d'identifier un individu. Les informations personnelles peuvent inclure :
Le traitement des informations personnelles via le cloud présente de nombreux avantages. L'utilisation du stockage cloud pour les informations personnelles réduit les coûts opérationnels par rapport au stockage des données sur site. Cela rend également les informations plus accessibles lorsque vous êtes travail à distance. Mais le stockage de données dans le cloud peut être risqué. Vous devez être sûr qu'un fournisseur de cloud offre le meilleur contrôles en place pour garder vos informations sécurisées. Si vous êtes un fournisseur de cloud, vous devrez montrer à vos clients que vous disposez d'excellents contrôles de sécurité.
La norme ISO 27018 classe les fournisseurs de services cloud comme sous-traitants lorsqu'ils traitent les données personnelles de votre organisation. Votre organisation reste classée comme contrôleur de données même lorsqu'un fournisseur de services cloud traite vos données pour vous. Les sous-traitants et les contrôleurs de données ont des responsabilités légales en matière de protection des informations personnelles.
La série l’environnement de gestion de la sécurité de l’information évolue rapidement. La norme technique ISO/IEC 27001 ne traite pas des informations personnelles. L'ISO a donc créé une nouvelle norme complémentaire en 2014, ISO 27018. La nouvelle norme répond aux préoccupations concernant les entreprises traitant des données personnelles chez les fournisseurs de services cloud. ISO/IEC 27018:2020 est la troisième version du document de 2014.
L'ISO/IEC 27018:2020 est la dernière version de l'ISO 27018. Les différences entre l'ISO 27018:2019 et l'ISO 27018:2020 sont essentiellement techniques. À toutes fins pratiques, vous pouvez considérer les versions 2019 et 2020 de la norme ISO 27018 comme étant identiques.
La version 2019 de l'ISO 27018 ne contenait que des révisions mineures par rapport à la version 2014. La nouvelle version de la norme ISO 27018 :
Définir l'ISO 27018 comme un document et non comme une norme est techniquement plus précis, car la norme convenue pour un Système de gestion de la sécurité de l'information (SMSI) est ISO 27001.
L'ISO a retiré la norme ISO/IEC 27018:2014.
Je recommanderais certainement ISMS.online, cela rend la configuration et la gestion de votre ISMS aussi simple que possible.
La norme ISO 27018 fait partie de la famille ISO 27000 de normes de gestion de la sécurité de l'information. Les normes ISO 27000 fournissent un cadre de sécurité de l'information reconnu internationalement.
La norme ISO 27001 définit les exigences techniques pour l'établissement d'un SMSI. La conformité à la norme ISO 27001 est la norme fondamentale en matière de sécurité des données. La norme ISO 27018 ajoute des lignes directrices sur la protection des données des services cloud à la norme ISO 27001.
Plutôt que de choisir entre ISO 27001 ou 27018, pensez à les mettre en œuvre ensemble. ISO 27001 est le meilleur cadre pour créer un SMSI axé sur la gestion des risques. La norme ISO 27018 ajoute des lignes directrices pour parvenir à une sécurité robuste dans le cloud.
La norme ISO 27701 couvre la gestion des informations confidentielles, définissant les exigences et les orientations pour la mise en œuvre d’un système de gestion des informations confidentielles (PIMS). La norme donne également des lignes directrices pour les contrôleurs et sous-traitants des informations personnelles, y compris des conseils de mise en œuvre en fonction de :
La norme ISO 27701 correspond à la norme ISO 27018 et à la législation européenne GDPR. Il s'agit d'une extension de la norme ISO 27001, la norme fondamentale pour la sécurité des données.
Si votre organisation travaille dans l'Union européenne, vous devez vous conformer et donc être conscient des GDPR (Règlement général sur la protection des données). Il s'agit d'une loi de l'UE (et du Royaume-Uni, post-Brexit) qui régit le traitement des données personnelles. Le RGPD ne s'applique pas uniquement aux pays de l'UE. La loi s'applique également à toute organisation qui fournit des biens ou des services dans l'UE.
Le RGPD et l'ISO 27018 remplissent des fonctions légèrement différentes. Le RGPD définit les règles de confidentialité et de protection des données. La norme ISO 27018 vous offre un cadre pratique pour gérer les risques liés à la protection des données et à la sécurité de l'information. La mise en œuvre de la norme ISO 27001, en conjonction avec la norme 27018, vous donne une base solide pour la conformité au RGPD.
L'ISO 27018 est liée à l'ISO/IEC 29100. L'ISO 29100 fournit :
L'ISO 29100 est liée à l'ISO 27018 par :
La norme ISO 29100 établit également les principes et la terminologie clés en matière de confidentialité.
Réservez une séance pratique sur mesure en fonction de vos besoins et de vos objectifs.
La cybersécurité est un enjeu majeur pour la confiance des entreprises. Sur le marché mondial d'aujourd'hui, la protection des données des clients n'a jamais été aussi critique. La norme ISO 27018 crée un cadre de conformité mondial robuste.
La norme ISO 27018 est particulièrement utile pour les clients de services cloud. Il prend en charge l’audit de conformité aux responsabilités internes. Ceci est particulièrement utile lorsque le processeur de données est un fournisseur de cloud tiers.
Les autres avantages de la norme ISO 27018 sont les suivants :
Cette norme est pertinente pour de nombreux types d’organisations. Que vous soyez :
si tu traiter les données PII via le cloud computing, la norme ISO 27018 est faite pour vous.
Si vous sous-traitez des informations personnelles à une autre entreprise, une diligence raisonnable indiquera si elle travaille avec la norme ISO/IEC 27018. Tout fournisseur de services qui utilise le cloud ou des informations personnelles doit prendre en compte la norme ISO 27018.
Les fournisseurs de services cloud les plus connus sont développant ou ayant développé la sécurité mesures pour protéger les informations personnelles. Les principaux acteurs du secteur qui ont déjà des politiques conformes à la norme ISO/IEC 27018 comprennent :
Il y a trois domaines que vous devriez prendre en compte lorsque vous envisagez de mettre en œuvre la norme ISO 27018 :
Notez que ces domaines sont également couverts par la norme ISO 27001. La norme ISO 27018 se concentre plus en profondeur sur les informations personnelles et les services de cloud computing.
Lorsque vous adoptez la norme ISO 27018, il est recommandé de commencer par comprendre votre point de départ. Il est important de s'appuyer sur ce qui existe déjà. Vous devrez également identifier toutes les lacunes susceptibles d'augmenter le risque de violation de données dans le cloud. Un processus d’auto-évaluation rigoureux permettra d’atteindre ces objectifs.
Une fois que vous avez établi votre point de départ, investissez dans les communications internes. Informez vos collègues de tout changement prévu et impliquez-les dans les discussions sur les raisons pour lesquelles ils sont nécessaires. Cela vous aidera :
ISO 27018 est un code de bonnes pratiques, pas une norme. La certification ISO 27018 est généralement incluse dans le processus d'audit ISO 27001, si elle est incluse en complément du SMSI.
Pour obtenir la certification d'une norme ISO, un auditeur compétent réalisera un audit. L'auditeur vérifiera si l'organisation répond aux critères ISO ou s'il existe des lacunes. C’est ce qu’on appelle un audit de phase 1.
Après l’audit, l’organisation aura le temps de combler les éventuelles lacunes dans :
Après quelques semaines, l'auditeur reviendra pour l'audit de phase 2. Il s'agit d'un audit beaucoup plus long et plus approfondi que l'étape 1. Votre audit d'étape 2 garantira que le SMSI fonctionne réellement comme conçu et mis en œuvre.
L'attribution de la certification ISO fait suite à cette visite à condition que le SMSI réponde à tous les critères. L'auditeur visitera l'organisation périodiquement (généralement une fois par an) pour confirmer votre conformité continue. Pour conserver votre statut de certification ISO, vous devrez réussir vos audits de maintenance annuels.
L'ISO/IEC 27018 étend les lignes directrices pour la mise en œuvre des contrôles de sécurité de l'ISO/IEC 27002. Ces contrôles divisent les responsabilités en matière de protection des données en :
Les contrôles de sécurité étendus incluent :
Vous aurez également besoin d'un ensemble supplémentaire de contrôles de sécurité. Celles-ci sont conformes aux principes de confidentialité énoncés dans le cadre de confidentialité ISO/IEC 29100. La norme ISO/IEC 27018 permet aux fournisseurs de cloud de prouver qu'ils savent comment protéger les informations personnelles de leurs clients.
Si votre organisation traite des informations personnelles, envisagez de mettre en œuvre la norme ISO 27018 parallèlement à un SMSI ISO 27001. Si vous êtes toujours curieux de connaître les détails de ce qui est inclus dans le rapport, voici la liste complète des clauses de la norme ISO 27018 :
Téléchargez votre guide gratuit
pour rationaliser votre Infosec
Notez que la liste ci-dessous s'ajoute à contrôles définis dans la norme ISO 27001.
Article 1 : Champ d'application
Article 2 : Références normatives
Article 3 : Termes et définitions
Article 4 : Aperçu
4.1 : Structure de ce document
4.2 : Catégories de contrôle
Article 5 : Politiques de sécurité des informations
5.1 : Orientation de gestion pour la sécurité de l'information
Article 6 : Organisation de la sécurité de l'information
6.1 : Organisation interne
6.2 : Appareils mobiles et télétravail
Article 7 : Sécurité des ressources humaines
7.1 : Avant l'emploi
7.2 : Pendant l'emploi
7.3 : Cessation et changement d'emploi
Article 8 : Gestion des actifs
Article 9 : Contrôle d'accès
9.1 : Exigences métiers du contrôle d’accès
9.2 : Gestion des accès utilisateurs
9.3 : Responsabilités de l'utilisateur
9.4 : Contrôle d'accès au système et aux applications
Article 10 : Cryptographie
10.1 : Contrôles cryptographiques
Article 11 : Sécurité physique et environnementale
11.1 : Zones sécurisées
11.2 : Équipement
Article 12 : Sécurité des opérations
12.1 : Procédures opérationnelles et responsabilités
12.2 : Protection contre les logiciels malveillants
12.3 : Sauvegarde
12.4 : Journalisation et surveillance
12.5 : Contrôle des logiciels opérationnels
12.6 : Gestion des vulnérabilités techniques
12.7 : Considérations relatives à l'audit des systèmes d'information
Article 13 : Sécurité des communications
13.1 : Gestion de la sécurité du réseau
13.2 : Transfert d'informations
Article 14 : Acquisition, développement et maintenance du système
Article 15 : Relations fournisseurs
Article 16 : Gestion des incidents de sécurité de l'information
16.1 : Gestion des incidents de sécurité de l’information et améliorations
Article 17 : Aspects liés à la sécurité de l'information dans la gestion de la continuité des activités
Article 18 : Conformité
18.1 : Respect des exigences légales et contractuelles
18.2 : Examens de la sécurité des informations
Notez que la liste ci-dessous s'ajoute aux contrôles définis dans la norme ISO 27001. Annexe A Ensemble de contrôles étendus du processeur PII du cloud public pour la protection des PII.
1: Général
2 : Consentement et choix
3 : Légitimité et spécification de la finalité
4 : Limitation de la collecte
5 : Minimisation des données
6 : Limitation d’utilisation, de conservation et de divulgation
7 : Précision et qualité
8 : Ouverture, transparence et notification
9 : Participation et accès individuels
10 : Responsabilité
11 : Sécurité des informations
12 : Conformité à la confidentialité
100% de nos utilisateurs obtiennent la certification ISO 27001 du premier coup
