ISO 27018 Certificering

U kunt een audit van uw ISMS aanvragen volgens de huidige norm ISO 27001:2022 in combinatie met ISO 27018. Onze auditteams voeren audits uit in de meeste rechtsgebieden wereldwijd. De informatiebeveiligingsauditors inspecteren uw Information Security Management System (ISMS) en het bijbehorende Cloud Security Management System (CSMS) in meer dan 7 verschillende talen. Vraag nu een uitgebreide ISO 27001-certificering aan (inclusief ISO 27018-audit)! Is uw hoofdvestiging gevestigd in de VS, Europa, Afrika of Azië? Certificeringsaudits zijn mogelijk in vele regio’s.

Wie heeft een ISO 27018-certificaat nodig?

Als u cloudservices aanbiedt of als cloudservices een essentieel onderdeel vormen van uw producten of diensten, dient u een CSMS (Cloud Security Management System) binnen uw bedrijf op te zetten. ISO 27018 kan alleen worden aangeschaft als aanvulling op de ISO 27001-certificering. ISO 270018 is niet bedoeld als een op zichzelf staande ISO-certificering.

Reserveer uw plek voor de certificering door een offerte aan te vragen.

Certificeringsgebieden volgens ISO 27001

Binnen de ISO 27000-norm is de belangrijkste kernnorm ISO 27001, die de vereiste certificering is voor elk type add-on (bijv. ISO 27018, ISO 27701, ISO 27090, ISO 27091). Als uw organisatie nog nooit een audit heeft ondergaan en u uw ISMS pas recentelijk hebt geïntroduceerd, richt u zich dan op de ISO 27001-certificering. Zodra uw ISMS een aanzienlijke mate van volwassenheid heeft bereikt, kunt u uw ISO 27001-certificaat uitbreiden met specialistische certificeringen (bijv. ISO 27018 voor cloudserviceproviders).

ISO 27001
Geel netwerkkabels aangesloten op een switch, illustrerend de infrastructuur voor cloudbeveiliging en informatiebeveiliging, relevant voor ISO 27018 certificering.
Information Security

ISMS: Implementeer een beheersysteem om de gegevens in uw bedrijf te beschermen met een gecertificeerd informatiebeveiligingsbeheersysteem.

Leer meer over ISO 27001
ISO 27018
Abstract digitale netwerkvisualisatie met bollen en verbindingslijnen, symboliserend informatiebeveiliging en cloudtechnologie, relevant voor ISO 27001 en ISO 27018 certificering.
Cloud Security

CSMS: Informatiebeveiliging in de cloud is een zeer belangrijk onderwerp. Deze niche is blootgesteld aan unieke bedreigingen en heeft al diverse schandalen meegemaakt.

Leer meer over ISO 27018
ISO 27701
Man in een pak die een creditcard boven een betaalterminal houdt, met het scherm dat instructies toont voor het inbrengen of swipen van de kaart, relevant voor informatiebeveiliging in financiële transacties.
PI Security Management

PIMS: Het beschermen van de gegevens van uw klanten tegen misbruik is cruciaal voor sociale media en e-commerceplatforms.

Leer meer over ISO 27701
Reserveer uw plek voor de certificering door een offerte aan te vragen.

What is ISO 27018?

De Internationale Organisatie voor Standaardisatie (afgekort: ISO) introduceerde de ISO 27018-norm om organisaties te helpen bij de bescherming van informatie die in de cloud wordt verwerkt door de menselijke en technische middelen van die organisatie. Auditors willen er zeker van zijn dat een cloudbeveiligingsbeheersysteem (CSMS) daadwerkelijk is opgezet en op een congruente manier functioneert.

Een CSMS helpt het management de bescherming van informatie die in de cloud wordt verwerkt te waarborgen.

De ISO 27018-norm heeft de volgende structuur:

  1. Inleiding – de norm beschrijft een proces voor het systematisch beheren van informatierisico’s.
  2. Toepassingsgebied – het specificeert algemene CSMS-vereisten die geschikt zijn voor organisaties van elk type, elke omvang of aard.
  3. Normatieve referenties – alleen ISO/IEC 27000 wordt beschouwd als absoluut essentiële lectuur voor gebruikers van ISO 27018.
  4. Termen en definities – zie ISO/IEC 27000.
  5. Context van de organisatie – inzicht in de organisatorische context, de behoeften en verwachtingen van ‘belanghebbenden’ en het definiëren van de reikwijdte van het CSMS. Paragraaf 4.4 stelt zeer duidelijk dat “de organisatie het CSMS moet opzetten, implementeren, onderhouden en continu verbeteren”, wat betekent dat het operationeel moet zijn, niet slechts ontworpen en gedocumenteerd.
  6. Leiderschap – het topmanagement moet leiderschap en betrokkenheid tonen ten aanzien van het CSMS, beleid vaststellen en rollen, verantwoordelijkheden en bevoegdheden op het gebied van informatiebeveiliging toewijzen.
  7. Planning – beschrijft het proces voor het identificeren, analyseren en plannen van de aanpak van informatierisico’s, het verduidelijken van de doelstellingen van informatiebeveiliging en het beheren van wijzigingen in het CSMS.
  8. Ondersteuning – er moeten voldoende en bekwame resources worden toegewezen, bewustwording worden gecreëerd, documentatie worden opgesteld en beheerd.
  9. Operationeel beheer – meer details over het beoordelen en behandelen van informatierisico’s, het beheren van wijzigingen en het documenteren van zaken (deels zodat deze kunnen worden gecontroleerd door de certificeringsauditors).
  10. Prestatie-evaluatie – het monitoren, meten, analyseren en evalueren/auditeren/beoordelen van de informatiebeveiligingsmaatregelen, -processen en het beheersysteem, en het systematisch verbeteren van zaken waar nodig.
  11. Verbetering – het aanpakken van de bevindingen van audits en beoordelingen (bijv. non-conformiteiten en corrigerende maatregelen), en het systematisch verfijnen van het ISMS.
Reserveer uw plek voor de certificering door een offerte aan te vragen.
Persoon die op een laptop typt, met notitieboek en koffie, illustratief voor leerlinggerichte aanpak in onderwijs en ISO 21001-certificering.

Waarom kan een ISO 27018-certificering voor u voordelig zijn?

Wanneer een organisatie besluit om ISO 27018-gecertificeerd te worden, begint zij aan een traject om haar CSMS-documentatie op te bouwen en alle medewerkers binnen het bedrijf voor te bereiden op de implementatie van de nieuwe beveiligingsmaatregelen. Hierdoor bereiken de organisatieprocessen een hogere mate van volwassenheid. Na een succesvolle afronding van de certificeringsaudit zal het ISO 27018-certificaat de volgende positieve aspecten aan de buitenwereld tonen:

  • Betere informatiebeveiliging
  • Regelmatige beveiligingsverbeteringen
  • Grotere betrouwbaarheid
  • Grotere betrouwbaarheid
  • Lagere risico’s voor klantactiva en intellectueel eigendom

Daarnaast ervaart een organisatie ook de volgende interne verbeteringen:

  • De informatiestroom binnen het bedrijf is veilig en efficiënt
  • Informatie is altijd beschikbaar en betrouwbaar
  • Verlies, diefstal, misbruik en manipulatie van gegevens is minder waarschijnlijk
  • Alleen bevoegde personen hebben toegang tot vertrouwelijke gegevens
  • Betere naleving van wet- en regelgeving en contractuele verplichtingen
Reserveer uw plek voor de certificering door een offerte aan te vragen.

Wat is er nodig voor ISO 27018-certificering?

De ISO 27018-norm vereist dat de CSMS-documentatie aan de volgende 14 punten voldoet om een ​​certificaat te kunnen afgeven:

  1. CSMS-scope (conform clausule 4.3)
  2. Informatiebeveiligingsbeleid (clausule 5.2)
  3. Proces voor informatie-risicobeoordeling (clausule 6.1.2)
  4. Proces voor de behandeling van informatie-risico’s en de Verklaring van
  5. Toepasselijkheid (clausule 6.1.3)
  6. Informatiebeveiligingsdoelstellingen (clausule 6.2)
  7. Bewijs van de competentie van de mensen die werkzaam zijn in informatiebeveiliging (clausule 7.2)
  8. Andere CSMS-gerelateerde documenten die door de organisatie noodzakelijk worden geacht (clausule 7.5.1b)
  9. Documenten voor operationele planning en controle (clausule 8.1)
  10. De resultaten van de risicobeoordeling, d.w.z. de beoordeelde risico’s (clausule 8.2)
  11. Het risico Behandelbeslissingen (clausule 8.3)
  12. Bewijs van de monitoring en meting van informatiebeveiliging (clausule 9.1)
  13. Het interne auditprogramma van het CSMS en de resultaten van uitgevoerde audits (clausule 9.2).
  14. Bewijs van managementbeoordelingen van het CSMS (clausule 9.3)
  15. Bewijs van geconstateerde afwijkingen en daaruit voortvloeiende corrigerende maatregelen (clausule 10.1)

Op welke manier zal de verklaring van toepasselijkheid het auditplan beïnvloeden?

Onze auditteams volgen een auditplan dat rekening houdt met de specifieke sector en het bedrijfsmodel van uw organisatie. De naleving van uw ISMS wordt beoordeeld aan de hand van de verschillende hoofdstukken en onderdelen van Bijlage A. Om een ​​goede audit te kunnen uitvoeren, is het noodzakelijk dat de auditcliënt medewerkers aanwijst die vragen kunnen beantwoorden met betrekking tot onderdelen van het auditplan. Een voorbeeld hiervan is de firewallbeheerder voor de beveiligingsmaatregelen met betrekking tot toegangscontrole. Tijdens de audit zal de hoofdauditor de functionaris voor privacy en informatiebeveiliging van de organisatie vragen om ervoor te zorgen dat de firewallbeheerder beschikbaar is voor de sessie over toegangscontrole.

Reserveer uw plek voor de certificering door een offerte aan te vragen.

Wat zijn de kosten van de audit en de ISO 27018-certificering?

De kosten van een ISO 27018-certificeringsproces zijn afhankelijk van de omvang en het risicoprofiel van de organisatie. De ISO 27006-norm geeft een gemiddeld aantal auditdagen aan voor een organisatie met een gemiddeld risico en een bepaald aantal medewerkers. Onze auditcalculatoren beoordelen de verwachte audittijd in relatie tot bedrijfsspecifieke parameters. Sommige factoren maken een verkorting van de auditduur mogelijk en daarmee een positieve verlaging van de auditkosten.

Wanneer risico’s een diepere audit vereisen, moet hiervoor extra tijd in het auditplan worden ingeruimd. Dit verhoogt de audittijd en de bijbehorende kosten. Daarnaast brengt reizen naar de operationele locaties van de klant extra reiskosten met zich mee voor de klantorganisatie. De ISO-norm staat toe dat tot 30% van de audit op afstand wordt uitgevoerd. Indien de bedrijfsstructuur (thuiswerken) of de situatie (bijv. een pandemie) een volledig audit op afstand vereist, dient de certificeringsinstantie hiervoor toestemming te verkrijgen van de betreffende accreditatie-instantie. Audits op afstand vermijden reiskosten en zijn doorgaans ideaal voor “virtuele organisaties” (bijvoorbeeld teams die volledig vanuit huis werken).

Aantal personen dat werkzaamheden verricht onder de controle van de organisatie. CSMS-auditduur voor de eerste audit (auditordagen)
1~10 0.5
11~15 1
16~25 1.5
26~45 2,0
46~65 2.5

Bovenstaande tabel is gebaseerd op het ISO 27006-standaarddocument (tabel B1) en toont de extra tijd voor een CSMS-audit tijdens een gecombineerde ISO 27001-audit.

De audittijd die is toegewezen voor de CSMS-inspectie bedraagt ​​minimaal:

  • 30% van de audittijd als cloudprovider
  • 30% van de audittijd als cloudgebruiker
  • 50% van de audittijd, indien de organisatie zowel cloudprovider als cloudgebruiker is

De ISO 27018-audit (fase 1 + fase 2) moet dan minimaal 2,5 dagen duren voor een cloudprovider en 3 dagen voor een cloudgebruiker. Indien een organisatie beide rollen vervult, mag de auditduur niet korter zijn dan de aanbevolen 3,5 dagen.

Deze eis is van toepassing omdat een ISO 27018-audit gelijktijdig met de ISO 27001-audit moet worden uitgevoerd.

Indien de organisatie al een ISO 27001-certificaat heeft en haar certificering wil upgraden, kan een aparte audit voor de CSMS-documentatie worden uitgevoerd. In dat geval moet minimaal 0,5 dag worden toegevoegd aan de auditduur.

Reserveer uw plek voor de certificering door een offerte aan te vragen.

Veelgestelde vragen over ISO 27018-certificering

De kosten voor uw gecombineerde ISO 27001 + ISO 27018-certificering worden berekend op basis van de omvang en het risicoprofiel van uw organisatie. De offerte bevat een vaste prijs en een schatting van het aantal auditdagen. Dit stelt u in staat uw certificeringsproject beter te budgetteren.

De kosten van de certificering zijn afhankelijk van:

de totale omvang van uw organisatie
de sector waarin u actief bent
het aantal vestigingen en de specifieke activiteiten daarvan
het risicoprofiel van uw organisatie

U krijgt een accountmanager toegewezen die de eerste fase van uw traject naar het ISO 27001-certificaat coördineert. Deze persoon stelt een vaste prijsopgave voor u op en verzamelt de belangrijkste details van de gewenste certificeringsomvang.

De hoofdauditor plant vervolgens een telefonisch gesprek van 1-2 uur met u in om te controleren of alle aspecten van uw SIK-profiel in overweging zijn genomen en of de structuur van het auditplan aansluit op de beschikbaarheid van de belangrijkste personen binnen uw organisatie.

Nadat u de audit heeft afgerond, houdt de accountmanager u op de hoogte terwijl de auditdocumentatie wordt verwerkt door het compliance-team van de certificeringsinstantie. Na een positieve beoordeling wordt het ISO 27001-certificaat aan u uitgereikt.

We helpen u ook te begrijpen hoe u het certificaat en de bijbehorende logo's het beste kunt gebruiken om conflicten met de ISO-regels te voorkomen.

De accreditatie van Stratlane is een belangrijk onderdeel van de zekerheid die we kunnen bieden aan degenen die op u vertrouwen door op uw certificaat te vertrouwen.

Onze geaccrediteerde ISO 27001-certificaten bevatten niet alleen uw logo, maar ook het logo van de accreditatie-instantie en de betreffende accreditatieverenigingen.

Let's Get Your Company Certified!

Make use of our certification services so that your businesss gains the competitive advantage of having accredited ISO certifications.