Vad är ISO 27017 och ISO 27018?

Informationssäkerhet ingår inom ISO bland annat i ISO 27000-serien. I ledningssystemstandarden ISO 27001 innehåller bilaga A de kontrollmål och kontrollåtgärder som en organisation bör beakta vid implementering av sitt ledningssystem för informationssäkerhet. International Organization for Standardization (ISO) har skrivit ytterligare vägledningsdokument för specifika sektorer.

För organisationer som är involverade i molnlösningar i rollen som kund eller i rollen som tjänsteleverantör har ISO skrivit ISO 27017 där ytterligare kontrollåtgärder ingår specifikt inom området molnsäkerhet.

ISO 27018 innehåller kontrollåtgärder specifikt avsedda för molnleverantörer som behandlar personuppgifter.

Varför?

Organisationer som hanterar molntjänstlösningar i sina tjänster drar nytta av dessa ytterligare kontrollåtgärder eftersom de är skräddarsydda för tjänsteutbudet. Genom att ta hänsyn till dessa ytterligare kontrollåtgärder när den certifierar en organisation mot ISO 27001, visar en organisation att den har gjort allt för att tillhandahålla den högsta graden av säkerhet till sina intressenter.

ISO 27017 och ISO 27018-certifiering

Under certifieringen mot ISO 27001 bedömer Brand Compliance de ytterligare kontrollåtgärderna som ingår i ISO 27017 och ISO 27018. Om en organisation bevisligen har implementerat dessa kontrollåtgärder effektivt utfärdas ett ytterligare certifikat som bekräftar att organisationen följer de ytterligare kontrollåtgärderna.

Hur fungerar det?

Kontrollåtgärderna från ISO 27017 och ISO 27018 kan direkt bedömas under den ordinarie certifieringsprocessen enligt ISO 27001. Det är även möjligt för organisationer att certifiera de ytterligare kontrollåtgärderna i ett senare skede, som en del av ISO 27001.