ISO, de internationale normenorganisatie

Deze non-profitorganisatie heeft 167 leden die vrijwel alle landen vertegenwoordigen. Het doel is om internationale normen op te stellen en hoopt antwoorden te geven op wereldwijde problemen.

Om dit artikel beter te begrijpen, moeten we bepalen wat een "internationale standaard" is?:

"Een internationale norm is een document dat concrete informatie en best practices biedt. Het beschrijft vaak een overeengekomen manier om dingen te doen of een oplossing voor een wereldwijd probleem".

ISO 27000 , beheer van informatiebeveiliging

Van alle ISO-normen is degene die ons vandaag interesseert de 27000-familie: deze zorgt voor de beveiliging van gevoelige informatie in organisaties. Naleving en implementatie van de ISO 27000-familie normen maakt het eenvoudiger om met name financiële gegevens te beveiligen, maar ook documenten met betrekking tot intellectueel eigendom, informatie die aan derden is toevertrouwd, enz. 

ISO 27001, de bekendste norm

ISO 27001 is waarschijnlijk de bekendste ISO-norm. Het regelt het beheer van informatiebeveiliging. Met andere woorden, het biedt bedrijven een leidraad voor het beschermen van de gegevens die ze bezitten of verwerken. 

Om aan deze norm te voldoen, moeten bedrijven een "Plan-Do-Check-Act"-model volgen en een uitgebreide strategie implementeren om de beveiliging van de gegevens die ze verwerken te garanderen. Het moet ook een beleid volgen met procedures en controles die zijn afgestemd op de organisatie, bekend als een "Information Security Management System" of "Systèmes de Management de la Sécurité de l'Information". Dit is een wereldwijde aanpak die niet alleen beperkt is tot cyberbeveiliging. 

In het algemeen moet het bedrijf zijn goodwill aantonen en de acties die het onderneemt om gevoelige gegevens te beschermen in overeenstemming met de 3 principes van ISO 27001: 

  • Vertrouwelijkheid,
  • Integriteit (van informatie),
  • Beschikbaarheid (van gegevens).

Om precies te zijn is ISO 27001 een norm: het definieert de specifieke kaders en praktische richtlijnen die bedrijven moeten implementeren om gecertificeerd te worden. Certificering wordt toegekend na een audit door een onafhankelijke instantie. Een bedrijf kan besluiten het certificeringsproces niet te doorlopen.

Deze standaarden worden regelmatig bijgewerkt om gelijke tred te houden met steeds geavanceerdere cyberaanvallen. 

ISO 27017 en ISO 27018, beveiliging in de cloud 

Het afgelopen decennium heeft veel veranderingen teweeggebracht op het gebied van gegevensopslag en -doorvoer, en de komst van de cloud staat niet meer ter discussie. Deze ontwikkelingen, die hebben geleid tot de opkomst van cloud computing, brengen echter nieuwe beveiligingsregels met zich mee. 

In het geval van ISO-normen 27017 en 27018 heeft beveiliging voornamelijk betrekking op persoonlijk identificeerbare informatie (PII) in cloud computing. 

ISO 27017: Informatie beschermen in de cloud

Naarmate de cloud meer verspreid raakt, eisen gebruikers garanties over de veiligheid van gegevensopslag en -verwerking in de cloud. De markt voor clouddiensten wordt gekenmerkt door de verspreiding van leveranciers over de hele wereld en door de regelmatige overdracht van gegevens van het ene land naar het andere. Het is daarom essentieel om te kunnen vertrouwen op internationale richtlijnen.

Volgens Satoru Yamasaki, een van de redacteuren die aan de norm heeft gewerkt, "zal ISO/IEC 27017 serviceproviders helpen om met hun klanten tot overeenstemming te komen over de geschiktheid van beveiligingscontroles en hun implementatieaanbevelingen. Deze internationale norm voor beveiligingscontroles voor de cloud zal de ontwikkeling en uitbreiding van veiligere cloudcomputingsystemen vergemakkelijken. 

ISO 27018: Persoonlijke gegevens beschermen in de cloud 

De ISO 27018 norm is van toepassing op elk type entiteit, publiek of privaat, vanaf het moment dat het informatieverwerkingsdiensten via cloud computing op contractbasis aanbiedt aan andere organisaties. 

ISO/IEC 27018, gepubliceerd in 2014, is de eerste internationale norm die zich richt op de bescherming van persoonlijke gegevens in de cloud. 

ISO/IEC 27018, een baanbrekende norm voor de bescherming van persoonlijke gegevens in de cloud, heeft een aantal doelstellingen: 

  • Aanbieders van clouddiensten die persoonsgegevens verwerken helpen om te voldoen aan toepasselijke wettelijke verplichtingen en aan de verwachtingen van klanten 
  • Zorgen voor transparantie, zodat klanten goed beheerde clouddiensten kunnen kiezen 
  • Het eenvoudiger maken om contracten op te stellen voor clouddiensten 
  • Cloudklanten een mechanisme bieden om ervoor te zorgen dat cloudaanbieders voldoen aan wettelijke en andere eisen 

Kortom, ISO/IEC 27018 biedt een concrete referentie voor het creëren van vertrouwen in deze markt. Tegelijkertijd geeft het de publieke cloudsector een duidelijke richting voor het aanpakken van een aantal zorgen van klanten op het gebied van wet- en regelgeving. 

Als je meer wilt weten over de certificeringen die SPS Commerce (voorheen TIE Kinetix) heeft behaald, raadpleeg dan onze persberichten en blogartikelen.  

Dit vind je misschien ook leuk...

Blog - Securing Financial Transaction Transaction with ISO - Thumbnail BlogVeilige financiële transacties met ISO-gecertificeerde e-factureringIn het digitale tijdperk, waar informatie moeiteloos over virtuele paden stroomt, staat gegevensbeveiliging centraal in elk succesvol bedrijf. Op geen enkel gebied is dit belangrijker dan bij financiële transacties, waar de vertrouwelijkheid en integriteit van gevoelige gegevens van uiterst belang zijn.
iso_certifications BlogISO-certificaties: Waarom ze belangrijk zijnAls u enkele van onze whitepapers, nieuwsupdates of brochures hebt gelezen, hebt u zeker gehoord over onze ISO-certificeringen. Maar wat betekent het echt voor uw bedrijf en hoe verandert het de manier waarop TIE Kinetix zaken doet?
Het Dichten van de Kloof: Waarom Cloud-Gebaseerde Oplossingen de Nieuwe Norm Zijn BlogHet Dichten van de Kloof: Waarom Cloud-Gebaseerde Oplossingen de Nieuwe Norm ZijnVooruitstrevende bedrijven, ongeacht de branche, hebben al hun data of het merendeel daarvan gemigreerd naar de cloud. Om bij te blijven, volgen hun concurrenten dit voorbeeld.