Que couvrent les normes ISO 27018 et ISO 29151 ?
ISO / IEC 27018 Ce document fournit des lignes directrices pour la protection des données personnelles identifiables dans les environnements de cloud computing publics, notamment pour les organisations agissant en tant que sous-traitants de données personnelles. Il est largement utilisé par les fournisseurs de services cloud pour démontrer leur engagement en matière de protection de la vie privée.
ISO / IEC 29151 Il propose un code de bonnes pratiques pour la protection des données personnelles, offrant des contrôles et des conseils supplémentaires au-delà de ce qui est couvert par la norme ISO 27002. Il s'adresse principalement aux responsables de la protection des données personnelles et fournit des conseils pratiques de mise en œuvre.
L’annexe E de la norme ISO 27701:2025 propose une correspondance indicative entre ces trois normes. Elle est particulièrement utile aux organismes déjà conformes aux normes ISO 27018 ou ISO 29151 et qui souhaitent déterminer dans quelle mesure leurs pratiques existantes sont transposables à la norme ISO 27701:2025.
Pour la structure de contrôle complète, voir le Aperçu de l'annexe APour plus d'informations sur la conformité au RGPD, veuillez consulter la section correspondante. Annexe D Cartographie RGPDPour connaître les principes de confidentialité de la norme ISO 29100, voir Annexe CPour les équivalences de 2019, voir le Tableau de correspondance de l'annexe FPour un aperçu de toutes les modifications, consultez Quoi de neuf dans la norme ISO 27701:2025 ?.
Comment les clauses du système de gestion sont-elles cartographiées ?
Les exigences du système de gestion dans Articles 4 à 10 Les dispositions de la norme ISO 27701:2025 n'ont pas d'équivalents directs dans les normes ISO 27018 et ISO 29151, car aucune de ces normes ne définit de système de management. Cela signifie :
- Les organisations déjà conformes aux normes ISO 27018 ou ISO 29151 devront néanmoins mettre en œuvre les exigences du système de management PIMS (articles 4 à 10) pour obtenir la certification ISO 27701:2025.
- La valeur de la cartographie réside principalement dans le chevauchement au niveau du contrôle, et non au niveau du système de gestion.
Comment les contrôles de sécurité partagés sont-ils cartographiés ?
Le contrôles de sécurité partagés (Tableau A.3) Ces contrôles présentent la plus forte similitude avec les normes ISO 27018 et ISO 29151. Ils couvrent les principes fondamentaux de la sécurité de l'information abordés par ces trois normes. Chaque référence B.3 ci-dessous fournit des recommandations de mise en œuvre pour le contrôle A.3 correspondant.
| Annexe B - Orientations | Annexe A Contrôles | ISO 27018 | ISO 29151 | Sujet |
|---|---|---|---|---|
| B.3.3-B.3.16 | A.3.3 à travers A.3.16 | 5.1, 5.2, 5.12-36, A.10-A.11 | 5.1, 5.2, 5.12-36 | Politiques de sécurité, rôles, classification, accès, incidents, conformité |
| B.3.17-B.3.18 | A.3.17, A.3.18 | 6.3, 6.6, A.11.1 | 6.3, 6.6 | Sensibilisation, formation, accords de confidentialité |
| B.3.19-B.3.21 | A.3.19, A.3.20, A.3.21 | 7.7, 7.10, 7.14, A.11.2-13 | 7.1-7.14 | Sécurité physique, médias, élimination |
| B.3.22-B.3.31 | A.3.22 à travers A.3.31 | 8.1, 8.5, 8.13-33, A.11.6 | 8.1, 8.13-33 | Dispositifs terminaux, authentification, sauvegarde, journalisation, cryptographie, développement |
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Comment les commandes du contrôleur PII sont-elles cartographiées ?
commandes du contrôleur PII La norme ISO 27701:2025 correspond principalement à la norme ISO 29151, qui fournit un code de bonnes pratiques axé sur les contrôleurs de données personnelles. La norme ISO 27018 a une portée limitée à cet égard, car elle porte sur les processeurs. Chaque référence B.1 fournit des recommandations de mise en œuvre pour le contrôle A.1 correspondant.
| Annexe B - Orientations | Annexe A Contrôles | ISO 27018 | ISO 29151 | Sujet |
|---|---|---|---|---|
| B.1.2.2-3 | A.1.2.2, A.1.2.3 | N/D | A.4, A.4.1 | Objectif et fondement juridique |
| B.1.2.4-5 | A.1.2.4, A.1.2.5 | N/D | A.3.1 | Consentement et choix |
| B.1.2.6 | A.1.2.6 Évaluation de l'impact sur la vie privée | N/D | A.11.2 | Exigences PIA |
| B.1.3.2-10 | A.1.3.2 à travers A.1.3.10 | N/D | A.9, A.9.2, A.10 | Participation individuelle, accès, transparence |
| B.1.4.2-10 | A.1.4.2 à travers A.1.4.10 | N/D | A.5-A.8 | Limitation de la collecte, minimisation des données, exactitude, limitation de l'utilisation |
| B.1.5.2-5 | A.1.5.2 à travers A.1.5.5 | N/D | A.7.4, A.13.2 | Garanties de transfert, registres de divulgation |
Comment les contrôles du processeur PII sont-ils cartographiés ?
Contrôles du processeur PII Les exigences de la norme ISO 27701:2025 présentent de fortes similitudes avec celles de la norme ISO 27018, spécifiquement conçue pour les processeurs de données personnelles (PII) hébergés dans le cloud. Chaque référence B.2 fournit des recommandations de mise en œuvre pour le contrôle A.2 correspondant.
| Annexe B - Orientations | Contrôle de l'annexe A | ISO 27018 | ISO 29151 | Sujet |
|---|---|---|---|---|
| B.2.2.3 | A.2.2.3 Objectifs de l'organisation | A.3.1 | N/D | Traitement sous autorisation |
| B.2.2.4 | A.2.2.4 Marketing et publicité | A.3.2 | N/D | Restrictions de commercialisation |
| B.2.3.2 | A.2.3.2 Obligations envers les mandants PII | A.2.1 | N/D | Aide à la conformité |
| B.2.4.2-4 | A.2.4.2, A.2.4.3, A.2.4.4 | A.5.1, A.10.3, A.12.2 | A.7.2, A.11.3 | Fichiers temporaires, retour des données personnelles, transmission |
| B.2.5.2-9 | A.2.5.2 à travers A.2.5.9 | A.6.1-2, A.8.1, A.12.1 | A.4.1, A.7.3-5, A.13.2 | Divulgation, sous-traitants, transferts internationaux |
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Qui tire le plus grand profit de cette cartographie ?
- Fournisseurs de services cloud Les entreprises déjà certifiées ISO 27018 peuvent utiliser cette correspondance pour accélérer leur mise en œuvre de la norme ISO 27701:2025, car de nombreux contrôles de processeur se chevauchent.
- Organisations certifiées ISO 29151 peuvent faire correspondre leurs commandes de contrôleur PII existantes à la nouvelle structure ISO 27701:2025 (voir le guide de transition)
- Environnements multi-normes On peut utiliser cette cartographie pour identifier les preuves partagées et éviter de dupliquer les efforts de conformité entre les normes.
Pourquoi nous choisir ISMS.en ligne pour la conformité à plusieurs normes ?
ISMS.en ligne permet aux organisations d'appliquer simultanément plusieurs normes de confidentialité et de sécurité :
- Vues inter-cadres — Découvrez comment une mise en œuvre de contrôle satisfait aux exigences des normes ISO 27701, ISO 27018, ISO 29151 et plus encore.
- Preuves partagées — Lier les politiques, les procédures et les enregistrements aux exigences de plusieurs cadres de référence sans duplication
- Préparation unifiée à l'audit — Générer des dossiers de preuves couvrant plusieurs normes dans une seule exportation
- Identification des lacunes — Identifier les certifications existantes qui couvrent déjà les exigences de la norme ISO 27701:2025 et celles qui nécessitent un travail supplémentaire.
- Système de gestion intégré — Gérez les normes ISO 27001, ISO 27701 et les normes associées sur une seule plateforme
Questions fréquentes
Si je suis certifié ISO 27018, ai-je encore besoin de la certification ISO 27701 ?
Les normes ISO 27018 et ISO 27701 ont des objectifs différents. L'ISO 27018 fournit des lignes directrices spécifiques au traitement des données personnelles dans le cloud, mais ne constitue pas une norme de système de management certifiable à part entière (elle étend l'ISO 27001). L'ISO 27701:2025 fournit un système de management de la protection des données complet et autonome. Ces deux normes sont complémentaires, et le tableau de correspondance de l'annexe E illustre leurs points communs. Voir également… guide de conformité au RGPD pour la cartographie spécifique au RGPD.
La norme ISO 27701:2025 remplace-t-elle la norme ISO 27018 ou la norme ISO 29151 ?
Non, les normes ISO 27018 et ISO 29151 demeurent des normes distinctes et en vigueur. La norme ISO 27701:2025 peut être mise en œuvre parallèlement. Le tableau de correspondance de l'annexe E indique simplement les points communs entre les normes, aidant ainsi les organismes qui appliquent plusieurs normes à réduire les doublons.
Quel est le lien entre l'annexe A et l'annexe B ?
Annexe A L’annexe E définit les contrôles de confidentialité (ce que vous devez faire) et l’annexe B fournit les recommandations de mise en œuvre correspondantes (comment procéder). Elles portent la même numérotation : A.1.2.2 désigne le contrôle et B.1.2.2, les recommandations. Les deux annexes sont normatives dans l’édition 2025. Les tableaux de cette page font référence à la numérotation B car l’annexe E établit une correspondance entre les recommandations de mise en œuvre et les normes ISO 27018 et ISO 29151, mais chaque contrôle B possède un équivalent A direct indiqué dans la deuxième colonne.
Pourquoi certaines commandes affichent-elles N/A dans le mappage ?
La mention « N/A » indique que la commande ISO 27701:2025 n'a pas d'équivalent direct dans cette norme. Par exemple, les commandes des contrôleurs PII affichent « N/A » pour la norme ISO 27018, car cette dernière ne couvre que les processeurs PII. De même, certaines commandes de processeurs affichent « N/A » pour la norme ISO 29151, car cette dernière est axée sur les contrôleurs PII.
Découvrez nos offres de Guide de déclaration d'applicabilité pour documenter comment ces correspondances influencent votre sélection de commandes.
Les entreprises SaaS peuvent trouver des conseils personnalisés dans notre Norme ISO 27701:2025 pour les plateformes SaaS guider.
