ISO 27018 —concernant la protection des renseignements personnels des processeurs infonuagique?

La norme ISO 27018 est une norme internationale qui définit les meilleures pratiques pour la protection des données personnelles et le respect de la vie privée dans une solution infonuagique.

Elle a été élaborée par l’Organisation internationale de normalisation (ISO) et a été publiée en juillet 2015 pour sa première version. Une révision a été publiée en janvier 2019.

La norme fournit des guides sur la manière de mettre en œuvre des mesures pour protéger les données personnelles stockées ou traitées en infonuagique.

La norme est volontaire, mais les organisations qui sont déjà certifiées ISO 27001 peut l’utiliser pour démontrer leur engagement spécifique et particulier à protéger les renseignements personnels.

Elle bonifie la norme de sécurité de l’information ISO 27001 et le code de pratique ISO 27002 pour la gestion de la sécurité de l’information.

La norme s’applique à toutes les organisations qui traitent des données personnelles dans le nuage, y compris les fournisseurs de services infonuagiques.

Elle est conçue afin d’aider les fournisseurs de service infonuagique à s’assurer qu’ils ont mis en place des contrôles de sécurité appropriés pour protéger les données personnelles de leurs clients.

Les organisations qui traitent des données personnelles dans le nuage peuvent utiliser la norme ISO 27018 pour :

– Sélectionner et mettre en œuvre des contrôles de sécurité pour protéger les données personnelles dans le nuage;

– Établir des politiques et des procédures pour garantir la sécurité des données personnelles dans le nuage;

– Se conformer aux lois et réglementations applicables en matière de protection de la vie privée;

Liste des mesures de sécurité ou des sujets couverts

En plus des bonifications de la norme ISO27001 ainsi que de son annexe A. La norme ISO27018 comporte en plus des ajouts spécifiques pour la protection des renseignements personnels. (RP)

A.2.1 — Obtenir le consentement et gestion des données RP

A.3.1 — Définir les objectifs et les spécifications pour l’utilisation des RP

A.3.2 — Définir l’utilisation commerciale des données de RP

A.4 — Limiter la collecte de données.

A.5.1 — Confirmer la suppression des fichiers temporaires

A.6.1 — Définir la gestion des demandes d’accès à l’information.

A.6.2 — Crée un enregistrement des divulgations.

A.7 — Confirmer la qualité et l’exactitude des RP

A.8.1 — Divulguer l’utilisation de systèmes tiers pour le traitement des RP

A.9 — Gérer les accès et la participation des individus.

A.10.1 — Encadrer la divulgation de brèches de sécurité.

A.10.2 — Définir les périodes de rétentions de l’information.

A.10.3 — Définir les procédures de transfert d’information.

A.11.1 — Signature d’entente d’engagement de confidentialité

A.11.2 —Restreindre l’impression de matériel avec des RP

A.11.3 — Crée un registre de restauration des systèmes d’information

A.11.4 — Encadrer l’usage et la protection des copies externes.

A.11.5 — Restreindre l’utilisation des systèmes mobiles non chiffrés.

A.11.6 — Chiffrer les transmissions de donnée.

A.11.7 — Documenté une procédure de destruction de matériel imprimé.

A.11.8 — Forcer l’usage d’identifiant unique.

A.11.9 — Crée un registre des utilisateurs autorisés.

A.11.10 — Restreindre la réutilisation d’ancien compte.

A.11.11 — Documenter les contrats avec clients.

A.11.12 — Document les contrats des sous-traitants

A.11.13 — Confirmer que l’accès aux disques partagé soit purgé de RP

A.12.1 — Documenter la localisation des informations des RP

A.12.2 — Documenter les objectifs des traitements prévus des RP