Norme de protection des données pour les services en nuage

La norme ISO/CEI 27018 contient des objectifs de contrôle et des lignes directrices généralement acceptés pour la protection des données personnelles dans l'informatique en nuage. En termes de contenu, la norme s'appuie sur les normes de sécurité existantes, en particulier l'ISO/CEI 27002. Toutefois, les exigences portent spécifiquement sur la réglementation du traitement des données à caractère personnel dans un environnement en nuage.

La norme internationale s'applique à tous les types et à toutes les tailles d'organisations, y compris les entreprises publiques et privées, les agences gouvernementales et les organisations à but non lucratif qui fournissent des services de traitement de l'information en tant que processeurs d'IPI via l'informatique en nuage pour le compte d'autres organisations. Les lignes directrices de ce document peuvent également s'appliquer aux organisations agissant en tant que contrôleurs d'informations d'identification personnelle. Toutefois, les contrôleurs d'informations nominatives peuvent être soumis à des lois, réglementations et obligations supplémentaires en matière de protection des informations nominatives qui ne s'appliquent pas aux responsables du traitement des informations nominatives. Le présent document n'est pas destiné à couvrir ces obligations supplémentaires.

La norme ISO/IEC 27018:2020 est applicable à tous les types et à toutes les tailles d'organisations, y compris les entreprises privées et publiques, les agences gouvernementales et les organisations à but non lucratif, qui fournissent des services de traitement de l'information via l'informatique en nuage au sens d'un processeur d'informations nominatives.

Afficher plus
Montrer moins

Système de gestion de la sécurité de l'information de l'informatique en nuage basé sur la norme ISO 27001

Mise en œuvre de contrôles de protection des IPI généralement acceptés

Lien avec les principes de l'OCDE en matière de protection de la vie privée

La conformité internationalement reconnue donne des avantages concurrentiels

Beschreibung Standard/Regelwerk
Loading...

Informations sur la norme ISO 27018

Les exigences de la norme ISO 27018 sont spécifiques à la protection des informations personnelles identifiables (PII). Elles sont alignées sur les recommandations de mise en œuvre du Guide des contrôles de sécurité de l'information ISO 27002:2013 et s'intègrent donc parfaitement dans un système de gestion de la sécurité de l'information ISO 27001:2013. Les deux normes ont été révisées en 2022, ce qui a eu un impact particulier sur le contenu et la structure des contrôles de l'annexe A. Toutefois, la norme ISO/CEI 27018 continue de faire référence aux versions 2013 des normes.

La norme ISO/CEI 27018 spécifie les exigences en matière de protection des données pour les fournisseurs de services cloud et formule des mécanismes de surveillance et des lignes directrices pour la mise en œuvre de contrôles visant à assurer la protection des données personnelles dans un environnement cloud. Ce faisant, la norme prend en compte les exigences de protection des données qui existent déjà dans d'autres domaines et les adapte spécifiquement aux risques de sécurité de l'information dans le domaine de l'informatique en nuage.

La norme actuelle a été publiée en août 2020 par le G

ISO/IEC 27018:2019Technologies de l'information - Techniques de sécurité - Code de bonne pratique pour la protection des informations personnellement identifiables (PII) dans les nuages publics agissant en tant que processeurs de PII est disponible sur le site web de l'ISO.

Cette norme fait suite à l'ISO/CEI 27017 (Contrôles de sécurité de l'information pour les services en nuage), qui couvre d'autres aspects de la sécurité de l'information de l'informatique en nuage que la seule confidentialité des données.

Afficher plus
Montrer moins
Mehrwert
Loading...

Quels sont les avantages d'une norme sur l'informatique en nuage certifiée au niveau international ?

Dans la pratique, l'utilisation de procédures de sécurité reconnues est un critère décisif pour la sélection d'un fournisseur de services en nuage. Cela s'applique d'autant plus aux droits de contrôle du client dans le contexte du traitement des données commandées conformément à la législation nationale, telle que l'article 11 (2) n° 7 de la loi allemande sur la protection des données (BDSG). Avec l'introduction de la norme ISO 27018, les fournisseurs de services en nuage ont la possibilité d'aligner leur système de gestion spécifiquement sur ces exigences de protection des données et de le faire évaluer.

Wer darf zertifizieren
Loading...

Qui est autorisé à certifier selon la norme ISO 27018 ?

Pour certifier un système de gestion de la sécurité de l'information, l'organisme de certification doit être accrédité selon les normes ISO/IEC 17021 et ISO/IEC 27006. DQS est accrédité par l'organisme d'accréditation allemand DAkkS (Deutsche Akkreditierungsstelle GmbH) et est donc autorisé à effectuer des audits et des certifications selon les normes ISO/IEC 27001 et ISO/IEC 27018.

Business28.png
Loading...

Quelles sont les étapes d'une certification ISO 27018 ?

Votre entreprise sera certifiée sur la base de la norme internationale ISO/IEC 27001 pour un système de gestion de la sécurité de l'information mis en œuvre selon SO/IEC 27018:2019. Une fois que toutes les exigences de la norme ont été mises en œuvre, vous pouvez faire certifier votre système de gestion. Chez DQS, vous suivrez un processus de certification en plusieurs étapes.

Lors de la première étape, vous discuterez de votre entreprise, de votre sécurité de l'information actuelle et des objectifs d'une certification ISO 27018. Sur la base de ces discussions, vous recevrez une offre individuelle adaptée aux besoins de votre entreprise.

L'audit de certification commence par une analyse du système (étape 1 de l'audit) et l'évaluation de votre documentation, des objectifs, des résultats de votre évaluation de la gestion, de la revue du champ d'application et des audits internes. Ce processus nous permet de déterminer si votre système de gestion est suffisamment développé et prêt pour la certification.

Lors de l'étape suivante (audit du système, étape 2), votre auditeur DQS évalue l'efficacité de tous les processus de gestion sur le site afin de déterminer si vous répondez à toutes les exigences de la norme. Un expert juridique est ajouté à l'équipe d'audit pour évaluer l'efficacité du système de gestion au regard des lois applicables en matière de protection de la vie privée. Les résultats sont présentés lors d'une réunion finale et, si nécessaire, des plans de mesures concrètes sont convenus.

Après l'audit de certification, les résultats sont évalués par le comité de certification indépendant de DQS. Vous recevrez un rapport d'audit documentant les résultats de l'audit. Si toutes les exigences de la norme sont satisfaites, vous recevrez un certificat de conformité correspondant. Sa validité est liée à celle du certificat ISO 27001 sous-jacent.

Afin de garantir que votre entreprise continue de satisfaire à toutes les exigences importantes après l'audit, nous effectuons des audits de surveillance sur une base annuelle. Vous bénéficiez ainsi d'un soutien compétent pour l'amélioration continue de votre système de gestion de la sécurité de l'information et de vos processus d'entreprise.

Le certificat de conformité est valable pour une durée maximale de trois ans. La recertification est effectuée en temps utile avant l'expiration afin de garantir la conformité continue avec les exigences normatives applicables du catalogue de sécurité informatique. Un nouveau certificat de conformité est alors délivré.

Banking13.png
Loading...

Quel est le coût de la certification ISO 27018 ?

Comme chaque entreprise a des conditions préalables et des exigences individuelles différentes en matière de système de gestion, les coûts de l'audit et de la certification ISO 27018 sur la base de la norme ISO 27001 ne peuvent pas être indiqués de manière forfaitaire. N'hésitez pas à nous contacter : Nous nous ferons un plaisir de vous faire une offre personnalisée sur la base d'une évaluation objective et de vos exigences.

Business2.png
Loading...

Ce que vous pouvez attendre de nous

  • Plus de 35 ans d'expérience dans la certification de systèmes et de processus de gestion
  • Des auditeurs et des experts expérimentés disposant d'un haut niveau d'expertise et de connaissances sectorielles
  • Des informations à valeur ajoutée sur votre entreprise
  • Des certificats reconnus au niveau international
  • Expertise et accréditations pour toutes les normes pertinentes
  • Un soutien personnel et sans faille de la part de nos spécialistes - à l'échelle régionale, nationale et internationale
  • Des offres individuelles avec des conditions contractuelles flexibles et sans coûts cachés.
Afficher plus
Montrer moins
Loading...

Demander un devis

Votre interlocuteur local

Nous nous ferons un plaisir de vous soumettre une offre personnalisée pour votre certification ISO 27018.