Аудит и соответствие Awareness

Обзор сертификации ISO 27018

by Альянс Лазаря 0 комментарий
Передовой сертификационный аудит ISO 27001 от Lazarus Alliance

Об ИСО 27018

ISO/IEC 27018 — это уникальный свод правил в области информационных технологий для защиты персональных данных (PII) в публичных облаках, выступающих в качестве обработчиков PII. Облако предлагает организациям и потребителям ряд преимуществ: прежде всего, экономию средств, гибкость и мобильный доступ к информации. Кроме того, оно вызывает опасения по поводу защиты данных и конфиденциальности, особенно в отношении персональных данных (PII).

Персональные данные включают в себя любую информацию, позволяющую идентифицировать конкретного пользователя. Наиболее очевидные примеры — имена и контактные данные, а также девичья фамилия вашей матери. Однако люди могут не сразу вспомнить медицинские записи, IP-адреса и банковские выписки.

Стандарт ISO/IEC 27001, используемый совместно с ISO/IEC 27018, был опубликован для того, чтобы позволить поставщикам облачных услуг, чья инфраструктура сертифицирована в соответствии со стандартом, сообщать своим существующим и потенциальным клиентам, что их данные защищены и не будут использоваться в каких-либо целях, на которые они не дали явного согласия.

Стандарт содержит облачные рекомендации по управлению облачными вычислениями, которые охватывают следующие вопросы:

  • Кто за что отвечает между поставщиком облачных услуг и клиентом облака?
  • Изъятие/возврат активов при расторжении договора
  • Административные операции и процедуры, связанные с облачной средой
  • Мониторинг активности клиентов облака в облаке

Если вы работаете в компании-поставщике облачных услуг или планируете перенести свой бизнес в облако, сертификация Lazarus Alliance ISO 27018 принесет пользу вашей организации.

Преимущества

Преимущества сертификации ISO 27018 можно обобщить следующим образом:

  • Независимая проверка соответствия СУИБ вашей организации требованиям международно признанного и принятого стандарта информационной безопасности ISO 27001
  • Укрепляет доверие к управлению персональными данными и обеспечивает большую уверенность ваших клиентов и заинтересованных сторон в том, что данные и информация защищены.
  • Снижает риск негативной огласки из-за утечки данных.
  • Получите значительное преимущество перед конкурентами, у которых нет сертифицированной СУИБ, или станьте первым на рынке с СУИБ, сертифицированной по ISO 27001 и ISO 27017.
  • Достигайте экономии средств за счет использования централизованно управляемой сертифицированной по стандарту ISO 27001 системы ISMS, которая может стать основой для различных мероприятий по обеспечению соответствия, включая NIST 800-53, HIPAA, EUCS, SOC 2, Sarbanes-Oxley и другие.
  • Обеспечивает соблюдение местных правил, снижая риск штрафов за утечку данных
  • Снижает сложность за счет интеграции с ведущим стандартом информационной безопасности ISO/IEC 27001
  • Предоставляет общие рекомендации для разных стран, что упрощает ведение бизнеса по всему миру и получение доступа в качестве предпочтительного поставщика.
Стандарт ISO/IEC 27001 предоставляет модель для создания, внедрения, эксплуатации, мониторинга, анализа, обслуживания и улучшения системы управления информационной безопасностью (СУИБ).

Область применения ISO 27018

Стандарт ISO 27018 не определяет конкретную область применения СМИБ; однако определение области проверки является важнейшим компонентом процесса сертификации. Область применения СМИБ определяется самой организацией и может включать конкретное приложение или услугу организации, либо организацию в целом. Для ISO 27018 это определяется вашей существующей сертификацией ISO 27001.

Для получения более подробной информации свяжитесь с нами

Загрузите брошюру нашей компании.

Процесс сертификации ISO 27018

Если вы уже прошли сертификацию по стандарту ISO 27001, то первоначальный процесс аудита, сертификации и поддержания соответствия будет состоять из нескольких этапов:

  • Первичный обзор сертификации - этап 1

Первичный сертификационный аудит включает в себя анализ политики и процессов вашей действующей системы СМИБ по стандарту ISO 27001 для определения готовности вашей структуры СМИБ к полному аудиту на втором этапе сертификационного аудита. Этот аудит включает в себя проверку всех документов клиента, требуемых стандартом.

  • Первичный обзор сертификации - этап 2

Второй этап первоначального сертификационного аудита включает углубленное тестирование для подтверждения надлежащего внедрения системы СМИБ, а также её мониторинга и поддержки в соответствии с требованиями стандарта ISO 27018, а также внутренними политиками и процедурами. Этот этап проводится на территории клиента или в нескольких местах, если это требуется в соответствии с областью применения СМИБ. По завершении второго этапа Lazarus Alliance принимает решение о выдаче клиенту сертификата ISO 27018. Также могут быть выявлены пробелы, которые необходимо устранить перед выдачей сертификата.

  • Стадия надзорного аудита

Сертификация ISO 27018 действительна в течение трёх лет, в течение которых надзорные аудиты должны проводиться не реже одного раза в год. В ходе надзорных аудитов Lazarus Alliance проведёт краткую проверку на месте, чтобы определить, были ли внесены какие-либо существенные или значимые изменения в СМИБ, а также проведёт ограниченное тестирование, чтобы подтвердить, что организация продолжает следовать принципам и средствам контроля, указанным в первоначальной сертификации СМИБ.

  • Этап повторной сертификации

До истечения первоначального трехлетнего срока сертификации и в последующих циклах Lazarus Alliance проведет полные повторные сертификационные аудиты, чтобы обеспечить непрерывность вашей сертификации. Объем этого обзора и аудита будет зависеть от результатов надзорных аудитов и информации, определенной на этапе 1 повторного сертификационного обзора.

  • Сроки аудита

Время, необходимое для всего процесса сертификации, во многом зависит от того, насколько система менеджмента организации соответствует требованиям стандартов ISO 27001 и ISO 27018. Некоторые организации могут получить сертификацию в течение нескольких месяцев с момента начала сертификационного обзора, тогда как другим, более сложным организациям и системам может потребоваться до года для получения сертификации.

Услуги сертификации Lazarus Alliance

Будучи аккредитованным органом по сертификации (ОС), Lazarus Alliance не может предоставлять профессиональные консультационные услуги по разработке, выбору или внедрению средств контроля для соответствия требованиям ISO 27018. Однако в дополнение к полному аудиту и сертификации мы можем предложить следующие услуги:

Предварительная оценка сертификации ISO 27018

Формальная оценка готовности не является обязательным требованием для сертификации по стандарту ISO/IEC 27018, но она может быть полезна для оказания помощи организациям в процессе надлежащей подготовки к первоначальной сертификации. Цель оценки — сэкономить время и деньги организации за счет выявления недостатков в ее системе управления информационной безопасностью (СУИБ) до подачи заявки на сертификацию по стандарту ISO/IEC 27018.

Многие организации считают это важным шагом в процессе подготовки организации к официальному сертификационному аудиту.

В ходе предварительной оценки Lazarus Alliance проведёт комплексный анализ предполагаемой области применения, политик, процедур и процессов контроля, чтобы выявить пробелы в соответствии вашей предлагаемой СМИБ стандарту ISO/IEC 27018. Оценка позволит сравнить все требования стандарта с процессами, процедурами и средствами контроля, используемыми для проектирования, внедрения, эксплуатации и обслуживания вашей СМИБ. Результатом станет отчёт, содержащий чёткое описание недостатков, которые необходимо устранить до проведения официального сертификационного аудита.

Следующие шаги

Организациям, рассматривающим возможность сертификации по стандарту ISO 27017, следует рассмотреть следующие шаги:

  • Пожалуйста, свяжитесь с нами, чтобы лучше понять требования и процесс сертификации.
  • Приобретите все применимые стандарты серии ISO 27018, которые наилучшим образом соответствуют целям или потребностям организации, или используйте авторитетное отраслевое решение GRC, например Континуум GRC SaaS, который является первым и единственным в мире решением по оценке, одобренным FedRAMP.
  • Проводите анализ пробелов либо собственными силами, либо с использованием наших услуг, описанных выше.
  • Разработать план по устранению, внедрению и сертификации.

Кроме того, для получения дополнительной информации о Lazarus Alliance, пожалуйста, ознакомьтесь с нашим стандартом ISO 27018. страница деловой политики.

Аудиты и оценки сертификации ISO/IEC; мы готовы, когда готовы вы! Звоните +1 (888) 896-7580 прямо сейчас

Нет изображения Пусто

Альянс Лазаря

Веб-сайт: