Définition et objectif

ISO/IEC 27018 spécifie des lignes directrices basées sur ISO/IEC 27002 ainsi que des contrôles et des recommandations supplémentaires pour les fournisseurs de services cloud publics afin de protéger les informations personnelles identifiables (PII).

ISO/IEC 27018 est conçu pour deux cas d'utilisation spécifiques. Premièrement, il peut être utilisé comme référence par les organisations qui sont en train de mettre en œuvre un système de gestion de la sécurité de l'information basé sur le cloud computing selon ISO/IEC 27001 et qui doivent spécifiquement choisir des contrôles de protection des PII. Les organisations mettant en œuvre ISO/IEC 27001 utiliseront les contrôles ISO/IEC 27002 pour protéger leurs propres actifs informationnels. Cependant, elles auront besoin de contrôles de protection des PII pour protéger les actifs informationnels que leurs clients leur ont confiés.

Deuxièmement, ISO/IEC 27018 peut être utilisé comme document de référence par les processeurs de PII de cloud public pour mettre en œuvre des contrôles de protection des PII généralement acceptés.

Organe directeur

ISO/IEC 27018 est développé et maintenu par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI).

Dernière mise à jour

ISO/IEC 27018 a été mis à jour pour la dernière fois en 2019.

S'applique à

ISO/IEC 27018 s'applique à tous les types et tailles d'organisations qui fournissent des services de traitement de l'information en tant que processeurs de PII via le cloud computing sous contrat avec d'autres organisations. Cela inclut les entreprises publiques et privées, les entités gouvernementales et les organisations à but non lucratif.

Les lignes directrices de ce document peuvent également être pertinentes pour les organisations agissant en tant que contrôleurs de PII, mais elles seront soumises à une législation, des réglementations et des obligations supplémentaires en matière de protection des PII.

Contrôles et exigences

ISO/IEC 27018 décrit des contrôles et des exigences spécifiques pour protéger les PII dans les environnements de cloud public. Certaines des exigences clés incluent :

• Des termes explicites de traitement et de gestion des données dans les accords de services cloud.
• Des restrictions sur la manière dont les PII peuvent être traitées et stockées.
• La transparence des activités de traitement des données.
• Des exigences de portabilité et de suppression des données.
• Le rapport et la communication des incidents.

Veuillez vous référer à la publication officielle ISO 27018 pour une liste détaillée des contrôles et des exigences.

Type, fréquence et durée de l'audit

Les audits de conformité à la norme ISO/IEC 27018 peuvent être effectués par des tiers ou par des évaluations internes. La fréquence des audits peut varier en fonction de l'évaluation des risques de l'organisation, des accords contractuels et des exigences réglementaires. En général, les organisations réalisent des audits annuels.

La durée d'un audit ISO/IEC 27018 peut varier en fonction de la portée et de la complexité de l'environnement cloud. Elle peut aller de quelques jours à plusieurs semaines, les auditeurs examinant les pratiques cloud de l'organisation, les accords contractuels et le respect des contrôles de la norme.