Scribd
Importer
48 vues4 pages

Iso 27018 PDF

La norme ISO/IEC 27018 permet aux fournisseurs de cloud public d'évaluer les risques et de mettre en œuvre des contrôles pour la protection des données personnelles stockées. Ce document inclut la confidentialité dans le modèle ISO pour la gouvernance des TIC. L'ISO/IEC 27018 est la première norme internationale sur la confidentialité dans le cloud.

Transféré par

ScribdTranslations
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
48 vues4 pages

Iso 27018 PDF

La norme ISO/IEC 27018 permet aux fournisseurs de cloud public d'évaluer les risques et de mettre en œuvre des contrôles pour la protection des données personnelles stockées. Ce document inclut la confidentialité dans le modèle ISO pour la gouvernance des TIC. L'ISO/IEC 27018 est la première norme internationale sur la confidentialité dans le cloud.

Transféré par

ScribdTranslations
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

AENOR

20

NOUVEAUX
DÉFIS

TIC ISO/IEC 27018

La norme ISO/IEC 27018 permet aux fournisseurs de cloud public d'évaluer les risques et de mettre en œuvre
contrôles pour la protection des données personnelles stockées. Ce document comprend la vie privée-
cités dans le modèle ISO pour la gouvernance des TIC, qui s'ajoute à la qualité apportée par la norme
UNE-ISO/IEC 20000 et la sécurité selon les UNE-ISO/IEC 27001 et UNE-ISO/IEC 27002. C'est le premier
norme internationale sur la confidentialité dans le cloud.

Confidentialité
e levadun
unla nub e
E
Carlos le stockage d'informations mesures qui servent à ce que le titu- prêter attention aux termes et à
Manuel La gestion dans le cloud a cessé de lorsque ces données sont confirmées conditions du service.
Fernández
ResponsableTIC
être quelque chose d'inconnu pour moi de son droit fondamental à la Dans ce cadre, en 2014, l'organisme
AENOR chas organisations, tant du sec- la protection de votre information est tam- Organisationinternationaledenormalisation
tor public comme du privé. Son utilisation bien un des objectifs stratégiques (ISO) et la Commission électrotechnique In-
Miguel Recio
Sociodirecteur
constitue un exercice de responsabilité de l'organisation. De plus, cette ges- international (IEC) ont publié la norme
Données mondiales lidad, tant pour les fournisseurs que tion est nécessaire pour atténuer le ris- ISO/IEC 27018:2014 Technologie de la
Protection clients de ce service, en ce qui concerne le aller que cela implique tout traitement de informations. Techniques de sécurité.
Consultation conformité en matière de protection données personnelles. Et quand cela traite- Code de pratique pour la protection
traitement des données personnelles ou de la vie privée le mente se déroule dans le nuage d'informations personnelles identifiables
y sécurité, sans préjudice d'avoir à Il convient de se poser la question de savoir si (IPI) dans des nuages publics qui agissent co-
garantir également la confidentialité le client de ces services agit de mo responsables du traitement. Se tra-
et la sécurité de tout autre type de manière responsable, tant depuis le ta d'une norme fondamentale que se
information. Même, dans certains ca- point de vue de la responsabilité s'additionneàd'autressurlasécurité,commela
SOS, l'utilisation du cloud peut aider corporative comme du principe de res- UNE-ISO/IEC 27001:2014 Technologie
à atteindre cette conformité. responsabilité (responsabilité) en pro- de l'information. Techniques de sécurité-
Une gestion adéquate des actifs protection des données envers toutes les parties papa. Systèmes de Gestion de Sécurité-
vos de l'organisation, spécialement- intéressées. C'est-à-dire, choisir un pro- dad de l'information. [Link]-
te en ce qui concerne les données per- Un fournisseur de services cloud est un mais, ils travaillent sur le développement
sonales, doit impliquer l'adoption de décision responsable qui nécessite de la norme ISO/IEC DIS 27017 Information
AENOR
21

technologie — Techniques de sécurité — La ISO/IEC 27018 se base fondamentalement sur des lois
Code de pratique pour la sécurité de l'information
Contrôles de sécurité basés sur ISO/IEC 27002 et réglementations émises dans l'Union européenne
pour les services cloud, dont l'objet est pro-
fournir un guide supplémentaire pour la
mise en œuvre de contrôles pertinents en marche une initiative européenne de con des normes comme la UNE-ISO/IEC
tes de la ISO/IEC 27002 et aussi au- informatique en nuage1et même à 27001:2014, qui fournit un sis-
gunos supplémentaires spécifiques pour les règlement général futur thème flexible pour établir un Sis-
services cloud. de Protection des Données2. thèmes de Gestion de la Sécurité de
Du point de vue de la protection- la Informations (SGSI) qui permet
Code de bonnes pratiques ción de datos, la ISO/IEC 27018 se ba- identifier les risques généraux et choisir
La norme ISO/IEC 27018 est le premier standard sa en un schéma dans lequel le client les contrôles à appliquer. Pe-
donner un aperçu international sur la vie privée en Le service est responsable du traitement. ro en la gouvernance des TI et responda-
le nuage. Cette norme est basée, fondée mensonge, c'est-à-dire, qui décide sur le bilabilité du traitement des données perso-
mentalement, en lois et régulations traitement des données ; et le fournissent nales, la privacidad seguía siendo une
nécessaires émises dans l'Union européenne. En dor est le responsable du traitement et incognito en l'absence de paramètres in-
dans ce sens, il est important d'avoir en doit traiter ces données en suivant les internationalement reconnus.
compte que la norme ISO/IEC 27018 peut instructions du client (voir graphique 1). Avec la norme ISO/IEC 27018 le panorama-
être à la fois une norme et un code cela change substantiellement, car
bonnes pratiques pour le pro- Processus de traitement maintenant, les clients des services de nu-
fournisseur de services de cloud public, de données être, les autorités de protection de
selon le cas, et que sa publication Jusqu'à présent, les fournisseurs de es- données et autres autorités réglementaires
s'est avancé à des annonces comme ces services ne pouvaient être certifiés que dans ils peuvent savoir si le fournisseur de est-
celui de la Commission européenne de mettre le domaine de la sécurité selon vos services ont adopté des mesures en
AENOR
22
LES DONNÉES

Graphique 1
Processus de traitement des données
sur l'utilisation des services dans la
nuage4fait référence à l'ISO/IEC
27001, de manière à ce que les normes ou
Traitez des données les normes citées renforceront les
FOURNISSEUR personnels par compte troles. Ils permettront également de superviser
En charge du responsable le respect du fournisseur d'être-
du traitement (suivant ses
instructions vices basés sur les audits qui
des tiers agissent à son égard, donc-
bre la base des ISO/IEC 27018 et la
DONNÉES 27017, quand elle sera publiée.

Confidentialité, sécurité et
gouvernance des TI
Un bon modèle de gouvernance des TI
il n'est pas complet sans une norme so-
bréprotectiondesdonné[Link]
Décidez à propos de le
la actualidad, presque toutes les organisa-
CLIENT ciones traitent des données personnelles et, avec
traitement des Responsable
données personnelles du traitement indépendance de ce que soit la statistique
tactique que se considère, de plus en plus
ils le font dans le cloud. Face à cette réalité-
papa, la norme ISO/IEC 27018 constitue une
outil clé. Dans le cas de pro-
fournisseurs de services de cloud public
qu'ils soient certifiés avec la Nor-
ma ISO/IEC 27001, la ISO/IEC 27018
ISO/IEC 27018 apporta un ensemble complémentaire
des contrôles sur la vie privée. C'est de-
NOUVEAUX cir,sertégalementàidentifierdespro-
DÉFIS fournisseurs de cloud public qui ont

TIC matière de protection des données personnelles


nales qui sont, en outre, auditables et
une bonne gouvernance des TI.
Ainsi, le modèle ISO en TIC fait référence à
do a la nube publique incorpore la ca-
vérifiables par des tiers indépendants lidad (Norme UNE-ISO/IEC 20000),
tes. De même, cela leur aide avec le cum- sécurité (Normes UNE-ISO/IEC
le respect de ses obligations en ma- 27001 eISO/IEC 27002) et la vie privée
loi de protection des données personnelles papa (Norme ISO/IEC 27018). Y per-
les, ce qui peut se transformer en une mite que n'importe quelle organisation se
avantage concurrentielle. bénéficie des facteurs critiques de
Il convient de souligner que depuis le succès à ceux que ce mode-a engendre les objectifs commerciaux) à tout
point de vue de protection de da- lo5C'est-à-dire, il est orienté vers les ob- nouvelle technologie, entreprise ou service;
tos personnels, en particulier de la Loi objectifs d'affaires, qu'ils soient nouveaux incorpore la qualité et la sécurité dans
Orgánica 15/1999, du 13 décembre projets ou services ; il se compose de deux les services et les projets ; envisage
bre,deProtectiondesDonnées(LOPD),la éléments primordiaux qui sont le indicateurs (objectif de la métrique) et
ISO/IEC 27018 permet d'éclaircir et de renforcer cycle PDCA (moteur orienté vers la métriques orientées vers les affaires dans le
zar les obligations exigibles au client amélioration continue) et le contrôle inter- monde des TIC; et tout pro-
te de services, au responsable du tra- non des technologies de l'information projet d'innovation peut être incorporé-
tamiento et au fournisseur de services. (connaissance); la simplicité du ci- porar dans ce modèle.
Demême,leSchémaNationaldeSe- clo PDCA orienté vers les objectifs AENOR impulse ce modèle à tra-
sécurité3peut bénéficier à la fois de de negocio facilite la labor de ges- vés de les certifica correspondants
la norme ISO/IEC 27018 et la future ISO/IEC gestion et gouvernement dans les TIC ; cela consiste en ciones qui contribuent à ce que les em-
[Link] ce sens, le Guide de Se- appliquer le contrôle interne de la technologie presas soient plus compétitives. Dans le
sécurité des TIC (CCN-STIC-823) gías de l'information (considérant cas de la cloud publique, et à travers de
AENOR
23

Graphique 2
Modèle ISO en TIC

Gouvernance des TI
(UNE-ISO/IEC 38500)
GOUVERNEMENT

UNE-ISO/IEC 20000
Système de gestion des
services de technologies de
l'information (SGSTI)
GESTION

UNE-ISO/IEC 27001 ISO/IEC 27018


Système de gestion de la Code de pratique pour
sécurité de l'information la protection des données
(SGSI) personnels dans le cloud public

la norme ISO/IEC 27018 facilite que o vie privée, et sécurité. De plus, limitation de l'utilisation des données personnelles

fournisseurs et clients de ce service le facilite la démonstration de réponse les por partie du fournisseur, que non
puissent satisfaire le besoin d'un responsabilité en l'adoption il pourra les utiliser à des fins de publicité
haut niveau de protection des données par- ción de mesures et dans la performance- papa au marketing à moins qu'il ne soit
[Link],AENOR a cer- ño de ses fonctions comme responsable- autorisée expressément.
tifié près de 300 organisations du traitement, et facilite au client Enfin, les autorités de pro-
avec la Norme UNE-ISO/IEC 27001 et la preuve nécessaire que ça a été protection des données et autres autorités
120selonlaUNE-ISO/IEC20000-1. auditée de manière indépendante Les régulateurs pourront obtenir facilement
et périodiquement. vous garantissent le respect en cas
Avantages de la Norme En ce qui concerne le client, cela rend possible decequiestnécessaire;ilspourrontconsidérer
ISO/IEC 27018 que contrôle le traitement des da- rar la Norme ISO/IEC 27018 et d'autres
Cette norme exige que le fournisseur- tos personnels que ha encomenda- normes comme une mesure proac-
dor mer transparent dans les termes- au fournisseur, pouvant incorporer tiva pour ceux qui sont soumis au cum-
nos conditions de vos services, et rar comme partie du contrat ou de la clause plissement, que ce soit le responsable ou le
dans les pratiques commerciales qui mènent sulas contractuelles les engagements responsable du traitement. De même,
va à cabo; et démontrez votre engagement de ce fournisseur en vertu de la leur servira de cadre de référence pour
avec le client pour l'aider à accomplir ISO/IEC 27018 ysabiendo qué in- promouvoirdebonnespratiquesetdesschémas
se conformer aux lois et réglementations la formation doit vous être demandée. Ade- de l'autorégulation en matière de pro-
protection des données personnelles mais, vous aurez des garanties supplémentaires de protection des données personnelles. ◗

NOTES
(1)À cet égard, on peut consulter le communiqué de presse de la Commission européenne sur "Un marché unique numérique pour l'Europe : la Commission établit 16 initiatives pour ...

suivre” (IP/15/4919), Bruxelles, 6 mai 2015. Disponible sur[Link]


(2)Proposition de règlement du Parlement européen et du Conseil concernant la protection des personnes physiques à l'égard du traitement des données personnelles et

à la libre circulation de ces données (Règlement général sur la protection des données), COM(2012)11 final, Bruxelles, 25 janvier 2012. Disponible sur[Link]
eu/contenu-juridique/ES/TXT/PDF/?uri=CELEX:52012PC0011&qid=1431769787169&from=ES
(3)Décret royal 3/2010, du 8 janvier, par lequel est réglementé le Schéma National de Sécurité dans le cadre de l'Administration Électronique. Disponible [Link]/

chercher/[Link]?id=BOE-A-2010-1330
(4)[Link]/publico/seriesCCN-STIC/series/800-Esquema_Nacional_de_Seguridad/823-Securite-en-environnements-cloud/823-Cloud_Computing_ENS.pdf
(5)Voir FERNÁNDEZ SÁNCHEZ, Carlos Manuel et PIATTINI VELTHIUS, Mario (coords.) (2012), Modèle pour la gouvernance des TIC basé sur les normes ISO, Espagne. P.18.

Vous aimerez peut-être aussi