Information technology -- Security techniques -- Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors

This document establishes commonly accepted control objectives, controls and guidelines for implementing measures to protect Personally Identifiable Information (PII) in line with the privacy principles in ISO/IEC 29100 for the public cloud computing environment. In particular, this document specifies guidelines based on ISO/IEC 27002, taking into consideration the regulatory requirements for the protection of PII which can be applicable within the context of the information security risk environment(s) of a provider of public cloud services. This document is applicable to all types and sizes of organizations, including public and private companies, government entities and not-for-profit organizations, which provide information processing services as PII processors via cloud computing under contract to other organizations. The guidelines in this document can also be relevant to organizations acting as PII controllers. However, PII controllers can be subject to additional PII protection legislation, regulations and obligations, not applying to PII processors. This document is not intended to cover such additional obligations.

Technologies de l'information -- Techniques de sécurité -- Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l'informatique en nuage public agissant comme processeur de PII

Le présent document établit des objectifs de sécurité communément acceptés, des mesures de sécurité et des lignes directrices de mise en œuvre de mesures destinées ŕ protéger les informations personnelles identifiables (PII) conformément aux principes de protection de la vie privée de l'ISO/IEC 29100 pour l'environnement informatique en nuage public. En particulier, le présent document spécifie des lignes directrices dérivées de l'ISO/IEC 27002, en tenant compte des exigences réglementaires relatives ŕ la protection des PII, qui peuvent ętre applicables dans le contexte du ou des environnements de risque liés ŕ la sécurité de l'information d'un fournisseur de services en nuage public. Le présent document s'applique aux organismes de tous types et de toutes tailles, y compris les sociétés publiques et privées, les entités gouvernementales et les organismes ŕ but non lucratif, qui offrent des services de traitement de l'information en tant que processeurs de PII via l'informatique en nuage sous contrat auprčs d'autres organismes. Les lignes directrices du présent document peuvent également s'appliquer aux organismes agissant en tant que contrôleurs de PII. Cependant, les contrôleurs de PII peuvent ętre soumis ŕ d'autres lois, réglementations et obligations en matičre de protection des PII qui ne s'appliquent pas aux processeurs de PII. Le présent document n'a pas pour objet de couvrir des obligations supplémentaires.

General Information

Status
Published
Publication Date
14-Jan-2019
Current Stage
6060 - International Standard published
Start Date
30-Nov-2018
Completion Date
15-Jan-2019
Ref Project

RELATIONS

Buy Standard

Standard
ISO/IEC 27018:2019 - Information technology -- Security techniques -- Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
English language
23 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO/IEC 27018:2019 - Technologies de l'information -- Techniques de sécurité -- Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l'informatique en nuage public agissant comme processeur de PII
French language
26 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (sample)

INTERNATIONAL ISO/IEC
STANDARD 27018
Second edition
2019-01
Information technology — Security
techniques — Code of practice for
protection of personally identifiable
information (PII) in public clouds
acting as PII processors
Technologies de l'information — Techniques de sécurité — Code de
bonnes pratiques pour la protection des informations personnelles
identifiables (PII) dans l'informatique en nuage public agissant
comme processeur de PII
Reference number
ISO/IEC 27018:2019(E)
ISO/IEC 2019
---------------------- Page: 1 ----------------------
ISO/IEC 27018:2019(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO/IEC 2019

All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may

be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting

on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address

below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO/IEC 2019 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/IEC 27018:2019(E)
Contents Page

Foreword ........................................................................................................................................................................................................................................vi

Introduction ..............................................................................................................................................................................................................................vii

1 Scope ................................................................................................................................................................................................................................. 1

2 Normative references ...................................................................................................................................................................................... 1

3 Terms and definitions ..................................................................................................................................................................................... 1

4 Overview ....................................................................................................................................................................................................................... 3

4.1 Structure of this document ........................................................................................................................................................... 3

4.2 Control categories ................................................................................................................................................................................ 4

5 Information security policies .................................................................................................................................................................. 4

5.1 Management direction for information security ....................................................................................................... 4

5.1.1 Policies for information security........................................................................................................................ 4

5.1.2 Review of the policies for information security .................................................................................... 5

6 Organization of information security ............................................................................................................................................. 5

6.1 Internal organization ......................................................................................................................................................................... 5

6.1.1 Information security roles and responsibilities ................................................................................... 5

6.1.2 Segregation of duties .................................................................................................................................................... 5

6.1.3 Contact with authorities ............................................................................................................................................ 5

6.1.4 Contact with special interest groups .............................................................................................................. 5

6.1.5 Information security in project management ......................................................................................... 5

6.2 Mobile devices and teleworking .............................................................................................................................................. 5

7 Human resource security ............................................................................................................................................................................ 5

7.1 Prior to employment .......................................................................................................................................................................... 5

7.2 During employment ............................................................................................................................................................................ 5

7.2.1 Management responsibilities ................................................................................................................................ 6

7.2.2 Information security awareness, education and training ............................................................ 6

7.2.3 Disciplinary process ........................................................................................................................................... ........... 6

7.3 Termination and change of employment ......................................................................................................................... 6

8 Asset management ............................................................................................................................................................................................. 6

9 Access control .......................................................................................................................................................................................................... 6

9.1 Business requirements of access control ......................................................................................................................... 6

9.2 User access management ............................................................................................................................................................... 6

9.2.1 User registration and de-registration ............................................................................................................ 7

9.2.2 User access provisioning........................................................................................................................................... 7

9.2.3 Management of privileged access rights ..................................................................................................... 7

9.2.4 Management of secret authentication information of users ...................................................... 7

9.2.5 Review of user access rights .................................................................................................................................. 7

9.2.6 Removal or adjustment of access rights ...................................................................................................... 7

9.3 User responsibilities .......................................................................................................................................................................... 7

9.3.1 Use of secret authentication information ................................................................................................... 7

9.4 System and application access control ............................................................................................................................... 7

9.4.1 Information access restriction ............................................................................................................................. 7

9.4.2 Secure log-on procedures ........................................................................................................................................ 8

9.4.3 Password management system ........................................................................................................................... 8

9.4.4 Use of privileged utility programs .................................................................................................................... 8

9.4.5 Access control to program source code ....................................................................................................... 8

10 Cryptography ............................................................................................................................................................................................................ 8

10.1 Cryptographic controls .................................................................................................................................................................... 8

10.1.1 Policy on the use of cryptographic controls ............................................................................................. 8

10.1.2 Key management ............................................................................................................................................................. 8

© ISO/IEC 2019 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO/IEC 27018:2019(E)

11 Physical and environmental security .............................................................................................................................................. 8

11.1 Secure areas ............................................................................................................................................................................................... 8

11.2 Equipment ................................................................................................................................................................................................... 9

11.2.1 Equipment siting and protection ....................................................................................................................... 9

11.2.2 Supporting utilities ........................................................................................................................................................ 9

11.2.3 Cabling security ................................................................................................................................................................ 9

11.2.4 Equipment maintenance ........................................................................................................................................... 9

11.2.5 Removal of assets ............................................................................................................................................................ 9

11.2.6 Security of equipment and assets off-premises .................................................................................... 9

11.2.7 Secure disposal or re-use of equipment ...................................................................................................... 9

11.2.8 Unattended user equipment .................................................................................................................................. 9

11.2.9 Clear desk and clear screen policy ................................................................................................................... 9

12 Operations security ........................................................................................................................................................................................... 9

12.1 Operational procedures and responsibilities ............................................................................................................... 9

12.1.1 Documented operating procedures ..............................................................................................................10

12.1.2 Change management .................................................................................................................................................10

12.1.3 Capacity management ..............................................................................................................................................10

12.1.4 Separation of development, testing and operational environments ................................10

12.2 Protection from malware ............................................................................................................................................................10

12.3 Backup .........................................................................................................................................................................................................10

12.3.1 Information backup ....................................................................................................................................................10

12.4 Logging and monitoring ...............................................................................................................................................................11

12.4.1 Event logging ....................................................................................................................................................................11

12.4.2 Protection of log information .............................................................................................................................11

12.4.3 Administrator and operator logs ....................................................................................................................11

12.4.4 Clock synchronization ..............................................................................................................................................12

12.5 Control of operational software ............................................................................................................................................12

12.6 Technical vulnerability management ...............................................................................................................................12

12.7 Information systems audit considerations ..................................................................................................................12

13 Communications security ........................................................................................................................................................................12

13.1 Network security management .............................................................................................................................................12

13.2 Information transfer .......................................................................................................................................................................12

13.2.1 Information transfer policies and procedures ....................................................................................12

13.2.2 Agreements on information transfer ..........................................................................................................12

13.2.3 Electronic messaging ................................................................................................................................................12

13.2.4 Confidentiality or non-disclosure agreements ...................................................................................12

14 System acquisition, development and maintenance ....................................................................................................13

15 Supplier relationships .................................................................................................................................................................................13

16 Information security incident management ........................................................................................................................13

16.1 Management of information security incidents and improvements .....................................................13

16.1.1 Responsibilities and procedures .....................................................................................................................13

16.1.2 Reporting information security events .....................................................................................................13

16.1.3 Reporting information security weaknesses ........................................................................................13

16.1.4 Assessment of and decision on information security events .................................................13

16.1.5 Response to information security incidents .........................................................................................14

16.1.6 Learning from information security incidents ....................................................................................14

16.1.7 Collection of evidence ........................................................................................................................................... ....14

17 Information security aspects of business continuity management .............................................................14

18 Compliance ..............................................................................................................................................................................................................14

18.1 Compliance with legal and contractual requirements .......................................................................................14

18.2 Information security reviews ..................................................................................................................................................14

18.2.1 Independent review of information security .......................................................................................14

18.2.2 Compliance with security policies and standards ...........................................................................14

18.2.3 Technical compliance review .............................................................................................................................14

iv © ISO/IEC 2019 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/IEC 27018:2019(E)

Annex A (normative) Public cloud PII processor extended control set for PII protection ........................15

Bibliography .............................................................................................................................................................................................................................23

© ISO/IEC 2019 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO/IEC 27018:2019(E)
Foreword

ISO (the International Organization for Standardization) and IEC (the International Electrotechnical

Commission) form the specialized system for worldwide standardization. National bodies that are

members of ISO or IEC participate in the development of International Standards through technical

committees established by the respective organization to deal with particular fields of technical

activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international

organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the

work. In the field of information technology, ISO and IEC have established a joint technical committee,

ISO/IEC JTC 1.

The procedures used to develop this document and those intended for its further maintenance are

described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for

the different types of document should be noted. This document was drafted in accordance with the

editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/directives).

Attention is drawn to the possibility that some of the elements of this document may be the subject

of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent

rights. Details of any patent rights identified during the development of the document will be in the

Introduction and/or on the ISO list of patent declarations received (see www .iso .org/patents).

Any trade name used in this document is information given for the convenience of users and does not

constitute an endorsement.

For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and

expressions related to conformity assessment, as well as information about ISO's adherence to the

World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso

.org/iso/foreword .html.

This document was prepared by Technical Committee ISO/IEC JTC 1, Information technology,

Subcommittee SC 27, IT Security techniques.

This second edition cancels and replaces the first edition (ISO/IEC 27018:2014), of which it constitutes

a minor revision. The main change compared to the previous edition is the correction of an editorial

mistake in Annex A.

Any feedback or questions on this document should be directed to the user’s national standards body. A

complete listing of these bodies can be found at www .iso .org/members .html.
vi © ISO/IEC 2019 – All rights reserved
---------------------- Page: 6 ----------------------
ISO/IEC 27018:2019(E)
Introduction
0.1 Background and context

Cloud service providers who process Personally Identifiable Information (PII) under contract to their

customers need to operate their services in ways that allow both parties to meet the requirements

of applicable legislation and regulations covering the protection of PII. The requirements and the

way in which the requirements are divided between the cloud service provider and its customers

vary according to legal jurisdiction, and according to the terms of the contract between the cloud

service provider and the customer. Legislation which governs how PII is allowed to be processed (i.e.

collected, used, transferred and disposed of) is sometimes referred to as data protection legislation;

PII is sometimes referred to as personal data or personal information. The obligations falling on a PII

processor vary from jurisdiction to jurisdiction, which makes it challenging for businesses providing

cloud computing services to operate multinationally.

A public cloud service provider is a “PII processor” when it processes PII for and according to the

instructions of a cloud service customer. The cloud service customer, who has the contractual

relationship with the public cloud PII processor, can range from a natural person, a “PII principal”,

processing his or her own PII in the cloud, to an organization, a “PII controller”, processing PII relating

to many PII principals. The cloud service customer can authorize one or more cloud service users

associated with it to use the services made available to it under its contract with the public cloud

PII processor. Note that the cloud service customer has authority over the processing and use of the

data. A cloud service customer who is also a PII controller can be subject to a wider set of obligations

governing the protection of PII than the public cloud PII processor. Maintaining the distinction between

PII controller and PII processor relies on the public cloud PII processor having no data processing

objectives other than those set by the cloud service customer with respect to the PII it processes and

the operations necessary to achieve the cloud service customer's objectives.

NOTE Where the public cloud PII processor is processing cloud service customer account data, it can be

acting as a PII controller for this purpose. This document does not cover such activity.

The intention of this document, when used in conjunction with the information security objectives and

controls in ISO/IEC 27002, is to create a common set of security categories and controls that can be

implemented by a public cloud computing service provider acting as a PII processor. It has the following

objectives:

— to help the public cloud service provider to comply with applicable obligations when acting as a PII

processor, whether such obligations fall on the PII processor directly or through contract;

— to enable the public cloud PII processor to be transparent in relevant matters so that cloud service

customers can select well-governed cloud-based PII processing services;

— to assist the cloud service customer and the public cloud PII processor in entering into a contractual

agreement;

— to provide cloud service customers with a mechanism for exercising audit and compliance rights

and responsibilities in cases where individual cloud service customer audits of data hosted in a

multi-party, virtualized server (cloud) environment can be impractical technically and can increase

risks to those physical and logical network security controls in place.

This document can assist by providing a common compliance framework for public cloud service

providers, in particular those that operate in a multinational market.
0.2 PII protection controls for public cloud computing services

This document is designed for organizations to use as a reference for selecting PII protection controls

within the process of implementing a cloud computing information security management system based

on ISO/IEC 27001, or as a guidance document for implementing commonly accepted PII protection

controls for organizations acting as public cloud PII processors. In particular, this document has been

based on ISO/IEC 27002, taking into consideration the specific risk environment(s) arising from those

© ISO/IEC 2019 – All rights reserved vii
---------------------- Page: 7 ----------------------
ISO/IEC 27018:2019(E)

PII protection requirements which can apply to public cloud computing service providers acting as PII

processors.

Typically, an organization implementing ISO/IEC 27001 is protecting its own information assets.

However, in the context of PII protection requirements for a public cloud service provider acting as a

PII processor, the organization is protecting the information assets entrusted to it by its customers.

Implementation of the controls of ISO/IEC 27002 by the public cloud PII processor is both suitable for

this purpose and necessary. This document augments the ISO/IEC 27002 controls to accommodate the

distributed nature of the risk and the existence of a contractual relationship between the cloud service

customer and the public cloud PII processor. This document augments ISO/IEC 27002 in two ways:

— implementation guidance applicable to public cloud PII protection is provided for certain of the

existing ISO/IEC 27002 controls, and

— Annex A provides a set of additional controls and associated guidance intended to address public

cloud PII protection requirements not addressed by the existing ISO/IEC 27002 control set.

Most of the controls and guidance in this document also apply to a PII controller. However, the PII

controller is, in most cases, subject to additional obligations not specified here.

0.3 PII protection requirements

It is essential that an organization identifies its requirements for the protection of PII. There are three

main sources of requirement, as given below.

a) Legal, Statutory, Regulatory and Contractual Requirements: One source is the legal, statutory,

regulatory and contractual requirements and obligations that an organization, its trading

partners, contractors and service providers have to satisfy, and their socio-cultural responsibilities

and operating environment. It should be noted that legislation, regulations and contractual

commitments made by the PII processor can mandate the selection of particular controls and can

also necessitate specific criteria for implementing those controls. These requirements can vary

from one jurisdiction to another.

b) Risks: Another source is derived from assessing risks to the organization associated with PII, taking

into account the organization’s overall business strategy and objectives. Through a risk assessment,

threats are identified, vulnerability to and likelihood of occurrence is evaluated and potential

impact is estimated. ISO/IEC 27005 provides information security risk management guidance,

including advice on risk assessment, risk acceptance, risk communication, risk monitoring and risk

review. ISO/IEC 29134 provides guidance on privacy impact assessment.

c) Corporate policies: While many aspects covered by a corporate policy are derived from legal and

socio-cultural obligations, an organization can also choose voluntarily to go beyond the criteria

that are derived from the requirements of a).
0.4 Selecting and implementing controls in a clou
...

NORME ISO/IEC
INTERNATIONALE 27018
Deuxième édition
2019-01
Technologies de l'information —
Techniques de sécurité — Code de
bonnes pratiques pour la protection
des informations personnelles
identifiables (PII) dans l'informatique
en nuage public agissant comme
processeur de PII
Information technology — Security techniques — Code of practice for
protection of personally identifiable information (PII) in public clouds
acting as PII processors
Numéro de référence
ISO/IEC 27018:2019(F)
ISO/IEC 2019
---------------------- Page: 1 ----------------------
ISO/IEC 27018:2019(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2019

Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette

publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,

y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut

être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.

ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO/IEC 2019 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/IEC 27018:2019(F)
Sommaire Page

Avant-propos ..............................................................................................................................................................................................................................vi

Introduction ..............................................................................................................................................................................................................................vii

1 Domaine d'application ................................................................................................................................................................................... 1

2 Références normatives ................................................................................................................................................................................... 1

3 Termes et définitions ....................................................................................................................................................................................... 1

4 Vue d'ensemble ...................................................................................................................................................................................................... 3

4.1 Structure du présent document ............................................................................................................................................... 3

4.2 Catégories de mesures ..................................................................................................................................................................... 4

5 Politiques de sécurité de l'information ........................................................................................................................................ 4

5.1 Orientations de la direction en matière de sécurité de l'information ..................................................... 4

5.1.1 Politiques de sécurité de l'information ........................................................................................................ 5

5.1.2 Revue des politiques de sécurité de l'information ............................................................................. 5

6 Organisation de la sécurité de l'information .......................................................................................................................... 5

6.1 Organisation interne .......................................................................................................................................................................... 5

6.1.1 Fonctions et responsabilités liées à la sécurité de l'information ........................................... 5

6.1.2 Séparation des tâches .................................................................................................................................................. 5

6.1.3 Relations avec les autorités .................................................................................................................................... 6

6.1.4 Relations avec des groupes de travail spécialisés ............................................................................... 6

6.1.5 La sécurité de l'information dans la gestion de projet .................................................................... 6

6.2 Appareils mobiles et télétravail ................................................................................................................................................ 6

7 La sécurité des ressources humaines ............................................................................................................................................. 6

7.1 Avant l'embauche .................................................................................................................................................................................. 6

7.2 Pendant la durée du contrat ........................................................................................................................................................ 6

7.2.1 Responsabilités de la direction............................................................................................................................ 6

7.2.2 Sensibilisation, apprentissage et formation à la sécurité de l'information ................... 6

7.2.3 Processus disciplinaire ............................................................................................................................................... 7

7.3 Rupture, terme ou modification du contrat de travail .......................................................................................... 7

8 Gestion des actifs.................................................................................................................................................................................................. 7

9 Contrôle d'accès ..................................................................................................................................................................................................... 7

9.1 Exigences métier en matière de contrôle d'accès ..................................................................................................... 7

9.2 Gestion de l'accès utilisateur ...................................................................................................................................................... 7

9.2.1 Enregistrement et désinscription des utilisateurs ............................................................................. 7

9.2.2 Maîtrise de la gestion des accès utilisateur .............................................................................................. 7

9.2.3 Gestion des privilèges d'accès .............................................................................................................................. 8

9.2.4 Gestion des informations secrètes d'authentification des utilisateurs ............................. 8

9.2.5 Revue des droits d'accès utilisateur ................................................................................................................ 8

9.2.6 Suppression ou adaptation des droits d'accès ....................................................................................... 8

9.3 Responsabilités des utilisateurs .............................................................................................................................................. 8

9.3.1 Utilisation d'informations secrètes d'authentification ................................................................... 8

9.4 Contrôle de l'accès au système et aux applications ................................................................................................. 8

9.4.1 Restriction d'accès à l'information ................................................................................................................... 8

9.4.2 Sécuriser les procédures de connexion ........................................................................................................ 8

9.4.3 Système de gestion des mots de passe.......................................................................................................... 8

9.4.4 Utilisation de programmes utilitaires à privilèges ............................................................................. 9

9.4.5 Contrôle d'accès au code source des programmes ............................................................................. 9

10 Cryptographie .......................................................................................................................................................................................................... 9

10.1 Mesures cryptographiques ........................................................................................................................................................... 9

10.1.1 Politique d'utilisation des mesures cryptographiques ................................................................... 9

10.1.2 Gestion des clés ................................................................................................................................................................. 9

11 Sécurité physique et environnementale ...................................................................................................................................... 9

© ISO/IEC 2019 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO/IEC 27018:2019(F)

11.1 Zones sécurisées .................................................................................................................................................................................... 9

11.2 Équipement ................................................................................................................................................................................................ 9

11.2.1 Emplacement et protection du matériel...................................................................................................... 9

11.2.2 Services généraux ........................................................................................................................................................10

11.2.3 Sécurité du câblage .....................................................................................................................................................10

11.2.4 Maintenance du matériel .......................................................................................................................................10

11.2.5 Sortie des actifs ..............................................................................................................................................................10

11.2.6 Sécurité du matériel et des actifs hors des locaux ...........................................................................10

11.2.7 Mise au rebut ou recyclage sécurisé(e) du matériel ......................................................................10

11.2.8 Matériel utilisateur laissé sans surveillance .........................................................................................10

11.2.9 Politique du bureau propre et de l'écran vide .....................................................................................10

12 Sécurité liée à l'exploitation ..................................................................................................................................................................10

12.1 Procédures et responsabilités liées à l'exploitation ............................................................................................10

12.1.1 Procédures d'exploitation documentées .................................................................................................11

12.1.2 Gestion des changements ......................................................................................................................................11

12.1.3 Dimensionnement .......................................................................................................................................................11

12.1.4 Séparation des environnements de développement, de test et d'exploitation .......11

12.2 Protection contre les logiciels malveillants .................................................................................................................11

12.3 Sauvegarde ..............................................................................................................................................................................................11

12.3.1 Sauvegarde des informations .............................................................................................................................11

12.4 Journalisation et surveillance .................................................................................................................................................12

12.4.1 Journalisation des événements ........................................................................................................................12

12.4.2 Protection de l'information journalisée ....................................................................................................12

12.4.3 Journaux administrateur et opérateur .......................................................................................................13

12.4.4 Synchronisation des horloges ...........................................................................................................................13

12.5 Maîtrise des logiciels en exploitation ...............................................................................................................................13

12.6 Gestion des vulnérabilités techniques .............................................................................................................................13

12.7 Considérations sur l'audit du système d'information ........................................................................................13

13 Sécurité des communications ..............................................................................................................................................................13

13.1 Management de la sécurité des réseaux ........................................................................................................................13

13.2 Transfert de l'information ..........................................................................................................................................................13

13.2.1 Politiques et procédures de transfert de l'information ...............................................................13

13.2.2 Accords en matière de transfert d'information ..................................................................................14

13.2.3 Messagerie électronique ........................................................................................................................................14

13.2.4 Engagements de confidentialité ou de non-divulgation .............................................................14

14 Acquisition, développement et maintenance des systèmes d'information ..........................................14

15 Relations avec les fournisseurs ..........................................................................................................................................................14

16 Gestion des incidents liés à la sécurité de l'information .........................................................................................14

16.1 Gestion des incidents liés à la sécurité de l'information et améliorations .......................................14

16.1.1 Responsabilités et procédures ..........................................................................................................................14

16.1.2 Signalement des événements liés à la sécurité de l'information .........................................15

16.1.3 Signalement des failles liées à la sécurité de l'information .....................................................15

16.1.4 Appréciation des événements liés à la sécurité de l'information et prise de

décision .................................................................................................................................................................................15

16.1.5 Réponse aux incidents liés à la sécurité de l'information .........................................................15

16.1.6 Tirer des enseignements des incidents liés à la sécurité de l'information .................15

16.1.7 Recueil de preuves .......................................................................................................................................................15

17 Aspects de la sécurité de l'information dans la gestion de la continuité de l'activité ...............15

18 Conformité ...............................................................................................................................................................................................................15

18.1 Conformité aux obligations légales et réglementaires ......................................................................................15

18.2 Revue de la sécurité de l'information ...............................................................................................................................15

18.2.1 Revue indépendante de la sécurité de l'information .....................................................................16

18.2.2 Conformité avec les politiques et les normes de sécurité .........................................................16

18.2.3 Examen de la conformité technique .............................................................................................................16

iv © ISO/IEC 2019 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO/IEC 27018:2019(F)
Annexe A (normative) Ensemble étendu de mesures de protection des PII pour un

processeur de PII d'un nuage public .............................................................................................................................................17

Bibliographie ...........................................................................................................................................................................................................................26

© ISO/IEC 2019 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO/IEC 27018:2019(F)
Avant-propos

L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique

internationale) forment le système spécialisé de la normalisation mondiale. Les organismes

nationaux membres de l'ISO ou de l’IEC participent au développement de Normes internationales

par l'intermédiaire des comités techniques créés par l'organisation concernée afin de s'occuper des

domaines particuliers de l'activité technique. Les comités techniques de l'ISO et de l’IEC collaborent

dans des domaines d'intérêt commun. D'autres organisations internationales, gouvernementales et non

gouvernementales, en liaison avec l'ISO et l’IEC, participent également aux travaux. Dans le domaine

des technologies de l'information, l'ISO et l’IEC ont créé un comité technique mixte, l'ISO/IEC JTC 1.

Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont

décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents

critères d'approbation requis pour les différents types de documents ISO. Le présent document a été

rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www

.iso .org/ directives).

L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet

de droits de propriété intellectuelle ou de droits analogues. L'ISO et l’IEC ne sauraient être tenues pour

responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails

concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés

lors de l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations

de brevets reçues par l'ISO (voir www .iso .org/ brevets).

Les appellations commerciales éventuellement mentionnées dans le présent document sont données

pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un

engagement.

Pour une explication de la nature volontaire des normes, la signification des termes et expressions

spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion

de l'ISO aux principes de l'Organisation mondiale du commerce (OMC) concernant les obstacles

techniques au commerce (OTC), voir le lien suivant: www .iso .org/ iso/ fr/ avant -propos.

Le présent document a été élaboré par le comité technique ISO/IEC JTC 1, Technologies de l'information,

sous-comité SC 27, Techniques de sécurité des technologies de l'information.

Cette seconde édition annule et remplace la première édition (ISO/IEC 27018:2014), dont elle constitue

une révision mineure. La principale modification par rapport à l'édition précédente consiste en la

correction d'une erreur rédactionnelle à l'Annexe A.

Il convient que l'utilisateur adresse tout retour d'information ou toute question concernant le présent

document à l'organisme national de normalisation de son pays. Une liste exhaustive desdits organismes

se trouve à l'adresse www .iso .org/ fr/ members .html.
vi © ISO/IEC 2019 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO/IEC 27018:2019(F)
Introduction
0.1 Historique et contexte

Les fournisseurs de services en nuage qui traitent des informations personnelles identifiables (PII,

Personally Identifiable Information) dans le cadre d'un contrat avec leurs clients ont besoin de conduire

leur prestation de services de manière à permettre aux deux parties de satisfaire aux exigences des

lois et réglementations applicables en matière de protection des PII. Les exigences et les modalités de

répartition des exigences entre le fournisseur de services en nuage et ses clients varient en fonction

de la compétence juridique et selon les conditions du contrat établi entre le fournisseur de services en

nuage et le client. La législation qui régit les modalités de traitement des PII (c'est-à-dire les modalités

de collecte, d'utilisation, de transfert et de mise au rebut) est parfois appelée «législation en matière

de protection des données); les PII sont parfois désignées comme «données à caractère personnel»

ou «informations personnelles». Les obligations qui incombent à un processeur de PII varient d'une

juridiction à l'autre, ce qui rend difficile pour les entreprises qui fournissent des services informatiques

en nuage d'opérer dans plusieurs pays.

Un fournisseur de services en nuage public est un «processeur de PII» dès lors qu'il traite des PII pour

un client de services en nuage et suivant les instructions de ce dernier. Le client de services en nuage,

qui possède la relation contractuelle avec le processeur de PII du nuage public, peut être une personne

physique, une «personne concernée», qui traite ses propres PII dans le nuage, un organisme ou un

«contrôleur de PII», qui traite des PII en lien avec de nombreuses personnes concernées. Le client de

services en nuage peut autoriser un ou plusieurs utilisateurs de services en nuage qui lui sont associés

à utiliser les services mis à leur disposition dans le cadre de leur contrat avec le processeur de PII

d'un nuage public. Noter que le client de services en nuage a autorité sur le traitement et l'utilisation

des données. Un client de services en nuage qui agit également en tant que contrôleur de PII peut être

soumis à un plus vaste ensemble d'obligations régissant la protection des PII que ne l'est le processeur

de PII d'un nuage public. La distinction entre un contrôleur de PII et un processeur de PII repose sur le

fait que le processeur de PII d'un nuage public n'a, en ce qui concerne le traitement des données, aucun

objectif autre que ceux définis par le client de services en nuage pour ce qui a trait aux PII qu'il traite et

aux opérations nécessaires pour atteindre les objectifs du client de services en nuages.

NOTE Lorsque le processeur de PII du nuage public traite des données de compte d'un client de services en

nuage, il peut agir en qualité de contrôleur de PII à cette fin. Le présent document ne couvre pas cette activité.

L'intention du présent document, lorsqu'il est utilisé conjointement avec les objectifs et mesures de

sécurité de l'information de l'ISO/IEC 27002, est de créer un ensemble commun de catégories et de

mesures de sécurité pouvant être mis en œuvre par un fournisseur de services d'informatique en nuage

public agissant en tant que processeur de PII. Ses objectifs sont les suivants:

— aider le fournisseur de services en nuage public à se conformer aux obligations applicables lorsqu'il

agit en qualité de processeur de PII, que ces obligations incombent directement au processeur de PII

ou qu'elles soient de nature contractuelle;

— permettre au processeur de PII d'un nuage public de faire preuve de transparence pour toute

question pertinente de sorte que les clients de services en nuage puissent sélectionner des services

de traitement des PII en nuage correctement gouvernés;

— assister le client de services en nuage et le processeur de PII d'un nuage public dans la conclusion

d'un accord contractuel;

— fournir aux clients de services en nuage un mécanisme pour faire valoir les droits et responsabilités

en matière d'audit et de conformité dans les cas où des audits de clients de services en nuage

individuels portant sur des données hébergées dans un environnement de serveurs virtualisés

(«nuage») multipartie pourraient se révéler techniquement impossibles et pourraient amplifier les

risques pour les mesures de sécurité réseau physiques et logiques en place.

Le présent document peut servir d'aide en fournissant un cadre de conformité commun pour les

fournisseurs de services en nuage public, en particulier ceux qui interviennent sur un marché

multinational.
© ISO/IEC 2019 – Tous droits réservés vii
---------------------- Page: 7 ----------------------
ISO/IEC 27018:2019(F)

0.2 Mesures de protection des PII pour les services d'informatique en nuage public

Le présent document est destiné à servir de référence pour permettre aux organismes de sélectionner

des mesures de protection des PII dans le cadre du processus de mise en œuvre d'un système de

management de la sécurité de l'information pour l'informatique en nuage selon l'ISO/IEC 27001, ou à

servir de guide à l'attention d'organismes agissant en tant que processeurs de PII d'un nuage public

pour la mise en œuvre de mesures de protection des PII largement reconnues. Le présent document a

été plus particulièrement dérivé de l'ISO/IEC 27002, en tenant compte du ou des environnement(s) de

risque spécifique(s) découlant des exigences en matière de protection des PII qui peuvent s'appliquer

aux fournisseurs de services d'informatique en nuage public agissant en qualité de processeurs de PII.

En règle générale, un organisme qui met en œuvre l'ISO/IEC 27001 protège ses propres actifs

informationnels. Cependant, dans le contexte des exigences de protection des PII applicables à un

fournisseur de services en nuage public agissant en tant que processeur de PII, l'organisme protège

les actifs informationnels qui lui sont confiés par ses clients. La mise en œuvre des mesures de

l'ISO/IEC 27002 par le processeur de PII d'un nuage public à la fois convient à cette finalité et est

nécessaire. Le présent document complète les mesures de l'ISO/IEC 27002 pour refléter la nature

distribuée du risque et l'existence d'une relation contractuelle entre le client de services en nuage et le

processeur de PII d'un nuage public. Le présent document complète l'ISO/IEC 27002 de deux manières:

— des préconisations de mise en œuvre applicables à la protection des PII dans l'informatique en nuage

sont fournies pour certaines des mesures existantes de l'ISO/IEC 27002; et

— l'Annexe A fournit un ensemble de mesures supplémentaires et de recommandations associées

visant à traiter les exigences en matière de protection des PII dans l'informatique en nuage public

qui ne sont pas couvertes par l'ensemble de mesures existant de l'ISO/IEC 27002.

La plupart des mesures et recommandations du présent document s'appliquent également à un

processeur de PII. Cependant, le contrôleur de PII est, dans la plupart des cas, soumis à des obligations

supplémentaires qui ne sont pas spécifiées ici.
0.3 Exigences en matière de protection des PII

Il est essentiel qu'un organisme identifie ses exigences en matière de protection des PII. Ces exigences

proviennent de trois sources principales, indiquées ci-dessous.

a) Exigences légales, statutaires, réglementaires et contractuelles: la première source comprend les

exigences et obligations légales, statutaires, réglementaires et contractuelle
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.