ISO/IEC 27018:2019
(Main)Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
This document establishes commonly accepted control objectives, controls and guidelines for implementing measures to protect Personally Identifiable Information (PII) in line with the privacy principles in ISO/IEC 29100 for the public cloud computing environment. In particular, this document specifies guidelines based on ISO/IEC 27002, taking into consideration the regulatory requirements for the protection of PII which can be applicable within the context of the information security risk environment(s) of a provider of public cloud services. This document is applicable to all types and sizes of organizations, including public and private companies, government entities and not-for-profit organizations, which provide information processing services as PII processors via cloud computing under contract to other organizations. The guidelines in this document can also be relevant to organizations acting as PII controllers. However, PII controllers can be subject to additional PII protection legislation, regulations and obligations, not applying to PII processors. This document is not intended to cover such additional obligations.
Technologies de l'information — Techniques de sécurité — Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l'informatique en nuage public agissant comme processeur de PII
Le présent document établit des objectifs de sécurité communément acceptés, des mesures de sécurité et des lignes directrices de mise en œuvre de mesures destinées à protéger les informations personnelles identifiables (PII) conformément aux principes de protection de la vie privée de l'ISO/IEC 29100 pour l'environnement informatique en nuage public. En particulier, le présent document spécifie des lignes directrices dérivées de l'ISO/IEC 27002, en tenant compte des exigences réglementaires relatives à la protection des PII, qui peuvent être applicables dans le contexte du ou des environnements de risque liés à la sécurité de l'information d'un fournisseur de services en nuage public. Le présent document s'applique aux organismes de tous types et de toutes tailles, y compris les sociétés publiques et privées, les entités gouvernementales et les organismes à but non lucratif, qui offrent des services de traitement de l'information en tant que processeurs de PII via l'informatique en nuage sous contrat auprès d'autres organismes. Les lignes directrices du présent document peuvent également s'appliquer aux organismes agissant en tant que contrôleurs de PII. Cependant, les contrôleurs de PII peuvent être soumis à d'autres lois, réglementations et obligations en matière de protection des PII qui ne s'appliquent pas aux processeurs de PII. Le présent document n'a pas pour objet de couvrir des obligations supplémentaires.
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 27018
Second edition
2019-01
Information technology — Security
techniques — Code of practice for
protection of personally identifiable
information (PII) in public clouds
acting as PII processors
Technologies de l'information — Techniques de sécurité — Code de
bonnes pratiques pour la protection des informations personnelles
identifiables (PII) dans l'informatique en nuage public agissant
comme processeur de PII
Reference number
ISO/IEC 27018:2019(E)
ISO/IEC 2019
---------------------- Page: 1 ----------------------
ISO/IEC 27018:2019(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO/IEC 2019
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO/IEC 2019 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/IEC 27018:2019(E)
Contents Page
Foreword ........................................................................................................................................................................................................................................vi
Introduction ..............................................................................................................................................................................................................................vii
1 Scope ................................................................................................................................................................................................................................. 1
2 Normative references ...................................................................................................................................................................................... 1
3 Terms and definitions ..................................................................................................................................................................................... 1
4 Overview ....................................................................................................................................................................................................................... 3
4.1 Structure of this document ........................................................................................................................................................... 3
4.2 Control categories ................................................................................................................................................................................ 4
5 Information security policies .................................................................................................................................................................. 4
5.1 Management direction for information security ....................................................................................................... 4
5.1.1 Policies for information security........................................................................................................................ 4
5.1.2 Review of the policies for information security .................................................................................... 5
6 Organization of information security ............................................................................................................................................. 5
6.1 Internal organization ......................................................................................................................................................................... 5
6.1.1 Information security roles and responsibilities ................................................................................... 5
6.1.2 Segregation of duties .................................................................................................................................................... 5
6.1.3 Contact with authorities ............................................................................................................................................ 5
6.1.4 Contact with special interest groups .............................................................................................................. 5
6.1.5 Information security in project management ......................................................................................... 5
6.2 Mobile devices and teleworking .............................................................................................................................................. 5
7 Human resource security ............................................................................................................................................................................ 5
7.1 Prior to employment .......................................................................................................................................................................... 5
7.2 During employment ............................................................................................................................................................................ 5
7.2.1 Management responsibilities ................................................................................................................................ 6
7.2.2 Information security awareness, education and training ............................................................ 6
7.2.3 Disciplinary process ........................................................................................................................................... ........... 6
7.3 Termination and change of employment ......................................................................................................................... 6
8 Asset management ............................................................................................................................................................................................. 6
9 Access control .......................................................................................................................................................................................................... 6
9.1 Business requirements of access control ......................................................................................................................... 6
9.2 User access management ............................................................................................................................................................... 6
9.2.1 User registration and de-registration ............................................................................................................ 7
9.2.2 User access provisioning........................................................................................................................................... 7
9.2.3 Management of privileged access rights ..................................................................................................... 7
9.2.4 Management of secret authentication information of users ...................................................... 7
9.2.5 Review of user access rights .................................................................................................................................. 7
9.2.6 Removal or adjustment of access rights ...................................................................................................... 7
9.3 User responsibilities .......................................................................................................................................................................... 7
9.3.1 Use of secret authentication information ................................................................................................... 7
9.4 System and application access control ............................................................................................................................... 7
9.4.1 Information access restriction ............................................................................................................................. 7
9.4.2 Secure log-on procedures ........................................................................................................................................ 8
9.4.3 Password management system ........................................................................................................................... 8
9.4.4 Use of privileged utility programs .................................................................................................................... 8
9.4.5 Access control to program source code ....................................................................................................... 8
10 Cryptography ............................................................................................................................................................................................................ 8
10.1 Cryptographic controls .................................................................................................................................................................... 8
10.1.1 Policy on the use of cryptographic controls ............................................................................................. 8
10.1.2 Key management ............................................................................................................................................................. 8
© ISO/IEC 2019 – All rights reserved iii---------------------- Page: 3 ----------------------
ISO/IEC 27018:2019(E)
11 Physical and environmental security .............................................................................................................................................. 8
11.1 Secure areas ............................................................................................................................................................................................... 8
11.2 Equipment ................................................................................................................................................................................................... 9
11.2.1 Equipment siting and protection ....................................................................................................................... 9
11.2.2 Supporting utilities ........................................................................................................................................................ 9
11.2.3 Cabling security ................................................................................................................................................................ 9
11.2.4 Equipment maintenance ........................................................................................................................................... 9
11.2.5 Removal of assets ............................................................................................................................................................ 9
11.2.6 Security of equipment and assets off-premises .................................................................................... 9
11.2.7 Secure disposal or re-use of equipment ...................................................................................................... 9
11.2.8 Unattended user equipment .................................................................................................................................. 9
11.2.9 Clear desk and clear screen policy ................................................................................................................... 9
12 Operations security ........................................................................................................................................................................................... 9
12.1 Operational procedures and responsibilities ............................................................................................................... 9
12.1.1 Documented operating procedures ..............................................................................................................10
12.1.2 Change management .................................................................................................................................................10
12.1.3 Capacity management ..............................................................................................................................................10
12.1.4 Separation of development, testing and operational environments ................................10
12.2 Protection from malware ............................................................................................................................................................10
12.3 Backup .........................................................................................................................................................................................................10
12.3.1 Information backup ....................................................................................................................................................10
12.4 Logging and monitoring ...............................................................................................................................................................11
12.4.1 Event logging ....................................................................................................................................................................11
12.4.2 Protection of log information .............................................................................................................................11
12.4.3 Administrator and operator logs ....................................................................................................................11
12.4.4 Clock synchronization ..............................................................................................................................................12
12.5 Control of operational software ............................................................................................................................................12
12.6 Technical vulnerability management ...............................................................................................................................12
12.7 Information systems audit considerations ..................................................................................................................12
13 Communications security ........................................................................................................................................................................12
13.1 Network security management .............................................................................................................................................12
13.2 Information transfer .......................................................................................................................................................................12
13.2.1 Information transfer policies and procedures ....................................................................................12
13.2.2 Agreements on information transfer ..........................................................................................................12
13.2.3 Electronic messaging ................................................................................................................................................12
13.2.4 Confidentiality or non-disclosure agreements ...................................................................................12
14 System acquisition, development and maintenance ....................................................................................................13
15 Supplier relationships .................................................................................................................................................................................13
16 Information security incident management ........................................................................................................................13
16.1 Management of information security incidents and improvements .....................................................13
16.1.1 Responsibilities and procedures .....................................................................................................................13
16.1.2 Reporting information security events .....................................................................................................13
16.1.3 Reporting information security weaknesses ........................................................................................13
16.1.4 Assessment of and decision on information security events .................................................13
16.1.5 Response to information security incidents .........................................................................................14
16.1.6 Learning from information security incidents ....................................................................................14
16.1.7 Collection of evidence ........................................................................................................................................... ....14
17 Information security aspects of business continuity management .............................................................14
18 Compliance ..............................................................................................................................................................................................................14
18.1 Compliance with legal and contractual requirements .......................................................................................14
18.2 Information security reviews ..................................................................................................................................................14
18.2.1 Independent review of information security .......................................................................................14
18.2.2 Compliance with security policies and standards ...........................................................................14
18.2.3 Technical compliance review .............................................................................................................................14
iv © ISO/IEC 2019 – All rights reserved---------------------- Page: 4 ----------------------
ISO/IEC 27018:2019(E)
Annex A (normative) Public cloud PII processor extended control set for PII protection ........................15
Bibliography .............................................................................................................................................................................................................................23
© ISO/IEC 2019 – All rights reserved v---------------------- Page: 5 ----------------------
ISO/IEC 27018:2019(E)
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical
activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international
organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the
work. In the field of information technology, ISO and IEC have established a joint technical committee,
ISO/IEC JTC 1.The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for
the different types of document should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject
of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent
rights. Details of any patent rights identified during the development of the document will be in the
Introduction and/or on the ISO list of patent declarations received (see www .iso .org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso
.org/iso/foreword .html.This document was prepared by Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, IT Security techniques.This second edition cancels and replaces the first edition (ISO/IEC 27018:2014), of which it constitutes
a minor revision. The main change compared to the previous edition is the correction of an editorial
mistake in Annex A.Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/members .html.vi © ISO/IEC 2019 – All rights reserved
---------------------- Page: 6 ----------------------
ISO/IEC 27018:2019(E)
Introduction
0.1 Background and context
Cloud service providers who process Personally Identifiable Information (PII) under contract to their
customers need to operate their services in ways that allow both parties to meet the requirements
of applicable legislation and regulations covering the protection of PII. The requirements and the
way in which the requirements are divided between the cloud service provider and its customers
vary according to legal jurisdiction, and according to the terms of the contract between the cloud
service provider and the customer. Legislation which governs how PII is allowed to be processed (i.e.
collected, used, transferred and disposed of) is sometimes referred to as data protection legislation;
PII is sometimes referred to as personal data or personal information. The obligations falling on a PII
processor vary from jurisdiction to jurisdiction, which makes it challenging for businesses providing
cloud computing services to operate multinationally.A public cloud service provider is a “PII processor” when it processes PII for and according to the
instructions of a cloud service customer. The cloud service customer, who has the contractual
relationship with the public cloud PII processor, can range from a natural person, a “PII principal”,
processing his or her own PII in the cloud, to an organization, a “PII controller”, processing PII relating
to many PII principals. The cloud service customer can authorize one or more cloud service users
associated with it to use the services made available to it under its contract with the public cloud
PII processor. Note that the cloud service customer has authority over the processing and use of the
data. A cloud service customer who is also a PII controller can be subject to a wider set of obligations
governing the protection of PII than the public cloud PII processor. Maintaining the distinction between
PII controller and PII processor relies on the public cloud PII processor having no data processing
objectives other than those set by the cloud service customer with respect to the PII it processes and
the operations necessary to achieve the cloud service customer's objectives.NOTE Where the public cloud PII processor is processing cloud service customer account data, it can be
acting as a PII controller for this purpose. This document does not cover such activity.
The intention of this document, when used in conjunction with the information security objectives and
controls in ISO/IEC 27002, is to create a common set of security categories and controls that can be
implemented by a public cloud computing service provider acting as a PII processor. It has the following
objectives:— to help the public cloud service provider to comply with applicable obligations when acting as a PII
processor, whether such obligations fall on the PII processor directly or through contract;
— to enable the public cloud PII processor to be transparent in relevant matters so that cloud service
customers can select well-governed cloud-based PII processing services;— to assist the cloud service customer and the public cloud PII processor in entering into a contractual
agreement;— to provide cloud service customers with a mechanism for exercising audit and compliance rights
and responsibilities in cases where individual cloud service customer audits of data hosted in a
multi-party, virtualized server (cloud) environment can be impractical technically and can increase
risks to those physical and logical network security controls in place.This document can assist by providing a common compliance framework for public cloud service
providers, in particular those that operate in a multinational market.0.2 PII protection controls for public cloud computing services
This document is designed for organizations to use as a reference for selecting PII protection controls
within the process of implementing a cloud computing information security management system based
on ISO/IEC 27001, or as a guidance document for implementing commonly accepted PII protection
controls for organizations acting as public cloud PII processors. In particular, this document has been
based on ISO/IEC 27002, taking into consideration the specific risk environment(s) arising from those
© ISO/IEC 2019 – All rights reserved vii---------------------- Page: 7 ----------------------
ISO/IEC 27018:2019(E)
PII protection requirements which can apply to public cloud computing service providers acting as PII
processors.Typically, an organization implementing ISO/IEC 27001 is protecting its own information assets.
However, in the context of PII protection requirements for a public cloud service provider acting as a
PII processor, the organization is protecting the information assets entrusted to it by its customers.
Implementation of the controls of ISO/IEC 27002 by the public cloud PII processor is both suitable for
this purpose and necessary. This document augments the ISO/IEC 27002 controls to accommodate the
distributed nature of the risk and the existence of a contractual relationship between the cloud service
customer and the public cloud PII processor. This document augments ISO/IEC 27002 in two ways:
— implementation guidance applicable to public cloud PII protection is provided for certain of the
existing ISO/IEC 27002 controls, and— Annex A provides a set of additional controls and associated guidance intended to address public
cloud PII protection requirements not addressed by the existing ISO/IEC 27002 control set.
Most of the controls and guidance in this document also apply to a PII controller. However, the PII
controller is, in most cases, subject to additional obligations not specified here.
0.3 PII protection requirementsIt is essential that an organization identifies its requirements for the protection of PII. There are three
main sources of requirement, as given below.a) Legal, Statutory, Regulatory and Contractual Requirements: One source is the legal, statutory,
regulatory and contractual requirements and obligations that an organization, its trading
partners, contractors and service providers have to satisfy, and their socio-cultural responsibilities
and operating environment. It should be noted that legislation, regulations and contractual
commitments made by the PII processor can mandate the selection of particular controls and can
also necessitate specific criteria for implementing those controls. These requirements can vary
from one jurisdiction to another.b) Risks: Another source is derived from assessing risks to the organization associated with PII, taking
into account the organization’s overall business strategy and objectives. Through a risk assessment,
threats are identified, vulnerability to and likelihood of occurrence is evaluated and potential
impact is estimated. ISO/IEC 27005 provides information security risk management guidance,
including advice on risk assessment, risk acceptance, risk communication, risk monitoring and risk
review. ISO/IEC 29134 provides guidance on privacy impact assessment.c) Corporate policies: While many aspects covered by a corporate policy are derived from legal and
socio-cultural obligations, an organization can also choose voluntarily to go beyond the criteria
that are derived from the requirements of a).0.4 Selecting and implementing controls in a clou
...
NORME ISO/IEC
INTERNATIONALE 27018
Deuxième édition
2019-01
Technologies de l'information —
Techniques de sécurité — Code de
bonnes pratiques pour la protection
des informations personnelles
identifiables (PII) dans l'informatique
en nuage public agissant comme
processeur de PII
Information technology — Security techniques — Code of practice for
protection of personally identifiable information (PII) in public clouds
acting as PII processors
Numéro de référence
ISO/IEC 27018:2019(F)
ISO/IEC 2019
---------------------- Page: 1 ----------------------
ISO/IEC 27018:2019(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2019
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright officeCase postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO/IEC 2019 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/IEC 27018:2019(F)
Sommaire Page
Avant-propos ..............................................................................................................................................................................................................................vi
Introduction ..............................................................................................................................................................................................................................vii
1 Domaine d'application ................................................................................................................................................................................... 1
2 Références normatives ................................................................................................................................................................................... 1
3 Termes et définitions ....................................................................................................................................................................................... 1
4 Vue d'ensemble ...................................................................................................................................................................................................... 3
4.1 Structure du présent document ............................................................................................................................................... 3
4.2 Catégories de mesures ..................................................................................................................................................................... 4
5 Politiques de sécurité de l'information ........................................................................................................................................ 4
5.1 Orientations de la direction en matière de sécurité de l'information ..................................................... 4
5.1.1 Politiques de sécurité de l'information ........................................................................................................ 5
5.1.2 Revue des politiques de sécurité de l'information ............................................................................. 5
6 Organisation de la sécurité de l'information .......................................................................................................................... 5
6.1 Organisation interne .......................................................................................................................................................................... 5
6.1.1 Fonctions et responsabilités liées à la sécurité de l'information ........................................... 5
6.1.2 Séparation des tâches .................................................................................................................................................. 5
6.1.3 Relations avec les autorités .................................................................................................................................... 6
6.1.4 Relations avec des groupes de travail spécialisés ............................................................................... 6
6.1.5 La sécurité de l'information dans la gestion de projet .................................................................... 6
6.2 Appareils mobiles et télétravail ................................................................................................................................................ 6
7 La sécurité des ressources humaines ............................................................................................................................................. 6
7.1 Avant l'embauche .................................................................................................................................................................................. 6
7.2 Pendant la durée du contrat ........................................................................................................................................................ 6
7.2.1 Responsabilités de la direction............................................................................................................................ 6
7.2.2 Sensibilisation, apprentissage et formation à la sécurité de l'information ................... 6
7.2.3 Processus disciplinaire ............................................................................................................................................... 7
7.3 Rupture, terme ou modification du contrat de travail .......................................................................................... 7
8 Gestion des actifs.................................................................................................................................................................................................. 7
9 Contrôle d'accès ..................................................................................................................................................................................................... 7
9.1 Exigences métier en matière de contrôle d'accès ..................................................................................................... 7
9.2 Gestion de l'accès utilisateur ...................................................................................................................................................... 7
9.2.1 Enregistrement et désinscription des utilisateurs ............................................................................. 7
9.2.2 Maîtrise de la gestion des accès utilisateur .............................................................................................. 7
9.2.3 Gestion des privilèges d'accès .............................................................................................................................. 8
9.2.4 Gestion des informations secrètes d'authentification des utilisateurs ............................. 8
9.2.5 Revue des droits d'accès utilisateur ................................................................................................................ 8
9.2.6 Suppression ou adaptation des droits d'accès ....................................................................................... 8
9.3 Responsabilités des utilisateurs .............................................................................................................................................. 8
9.3.1 Utilisation d'informations secrètes d'authentification ................................................................... 8
9.4 Contrôle de l'accès au système et aux applications ................................................................................................. 8
9.4.1 Restriction d'accès à l'information ................................................................................................................... 8
9.4.2 Sécuriser les procédures de connexion ........................................................................................................ 8
9.4.3 Système de gestion des mots de passe.......................................................................................................... 8
9.4.4 Utilisation de programmes utilitaires à privilèges ............................................................................. 9
9.4.5 Contrôle d'accès au code source des programmes ............................................................................. 9
10 Cryptographie .......................................................................................................................................................................................................... 9
10.1 Mesures cryptographiques ........................................................................................................................................................... 9
10.1.1 Politique d'utilisation des mesures cryptographiques ................................................................... 9
10.1.2 Gestion des clés ................................................................................................................................................................. 9
11 Sécurité physique et environnementale ...................................................................................................................................... 9
© ISO/IEC 2019 – Tous droits réservés iii---------------------- Page: 3 ----------------------
ISO/IEC 27018:2019(F)
11.1 Zones sécurisées .................................................................................................................................................................................... 9
11.2 Équipement ................................................................................................................................................................................................ 9
11.2.1 Emplacement et protection du matériel...................................................................................................... 9
11.2.2 Services généraux ........................................................................................................................................................10
11.2.3 Sécurité du câblage .....................................................................................................................................................10
11.2.4 Maintenance du matériel .......................................................................................................................................10
11.2.5 Sortie des actifs ..............................................................................................................................................................10
11.2.6 Sécurité du matériel et des actifs hors des locaux ...........................................................................10
11.2.7 Mise au rebut ou recyclage sécurisé(e) du matériel ......................................................................10
11.2.8 Matériel utilisateur laissé sans surveillance .........................................................................................10
11.2.9 Politique du bureau propre et de l'écran vide .....................................................................................10
12 Sécurité liée à l'exploitation ..................................................................................................................................................................10
12.1 Procédures et responsabilités liées à l'exploitation ............................................................................................10
12.1.1 Procédures d'exploitation documentées .................................................................................................11
12.1.2 Gestion des changements ......................................................................................................................................11
12.1.3 Dimensionnement .......................................................................................................................................................11
12.1.4 Séparation des environnements de développement, de test et d'exploitation .......11
12.2 Protection contre les logiciels malveillants .................................................................................................................11
12.3 Sauvegarde ..............................................................................................................................................................................................11
12.3.1 Sauvegarde des informations .............................................................................................................................11
12.4 Journalisation et surveillance .................................................................................................................................................12
12.4.1 Journalisation des événements ........................................................................................................................12
12.4.2 Protection de l'information journalisée ....................................................................................................12
12.4.3 Journaux administrateur et opérateur .......................................................................................................13
12.4.4 Synchronisation des horloges ...........................................................................................................................13
12.5 Maîtrise des logiciels en exploitation ...............................................................................................................................13
12.6 Gestion des vulnérabilités techniques .............................................................................................................................13
12.7 Considérations sur l'audit du système d'information ........................................................................................13
13 Sécurité des communications ..............................................................................................................................................................13
13.1 Management de la sécurité des réseaux ........................................................................................................................13
13.2 Transfert de l'information ..........................................................................................................................................................13
13.2.1 Politiques et procédures de transfert de l'information ...............................................................13
13.2.2 Accords en matière de transfert d'information ..................................................................................14
13.2.3 Messagerie électronique ........................................................................................................................................14
13.2.4 Engagements de confidentialité ou de non-divulgation .............................................................14
14 Acquisition, développement et maintenance des systèmes d'information ..........................................14
15 Relations avec les fournisseurs ..........................................................................................................................................................14
16 Gestion des incidents liés à la sécurité de l'information .........................................................................................14
16.1 Gestion des incidents liés à la sécurité de l'information et améliorations .......................................14
16.1.1 Responsabilités et procédures ..........................................................................................................................14
16.1.2 Signalement des événements liés à la sécurité de l'information .........................................15
16.1.3 Signalement des failles liées à la sécurité de l'information .....................................................15
16.1.4 Appréciation des événements liés à la sécurité de l'information et prise de
décision .................................................................................................................................................................................15
16.1.5 Réponse aux incidents liés à la sécurité de l'information .........................................................15
16.1.6 Tirer des enseignements des incidents liés à la sécurité de l'information .................15
16.1.7 Recueil de preuves .......................................................................................................................................................15
17 Aspects de la sécurité de l'information dans la gestion de la continuité de l'activité ...............15
18 Conformité ...............................................................................................................................................................................................................15
18.1 Conformité aux obligations légales et réglementaires ......................................................................................15
18.2 Revue de la sécurité de l'information ...............................................................................................................................15
18.2.1 Revue indépendante de la sécurité de l'information .....................................................................16
18.2.2 Conformité avec les politiques et les normes de sécurité .........................................................16
18.2.3 Examen de la conformité technique .............................................................................................................16
iv © ISO/IEC 2019 – Tous droits réservés---------------------- Page: 4 ----------------------
ISO/IEC 27018:2019(F)
Annexe A (normative) Ensemble étendu de mesures de protection des PII pour un
processeur de PII d'un nuage public .............................................................................................................................................17
Bibliographie ...........................................................................................................................................................................................................................26
© ISO/IEC 2019 – Tous droits réservés v---------------------- Page: 5 ----------------------
ISO/IEC 27018:2019(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes
nationaux membres de l'ISO ou de l’IEC participent au développement de Normes internationales
par l'intermédiaire des comités techniques créés par l'organisation concernée afin de s'occuper des
domaines particuliers de l'activité technique. Les comités techniques de l'ISO et de l’IEC collaborent
dans des domaines d'intérêt commun. D'autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO et l’IEC, participent également aux travaux. Dans le domaine
des technologies de l'information, l'ISO et l’IEC ont créé un comité technique mixte, l'ISO/IEC JTC 1.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet
de droits de propriété intellectuelle ou de droits analogues. L'ISO et l’IEC ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails
concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés
lors de l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations
de brevets reçues par l'ISO (voir www .iso .org/ brevets).Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l'Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: www .iso .org/ iso/ fr/ avant -propos.
Le présent document a été élaboré par le comité technique ISO/IEC JTC 1, Technologies de l'information,
sous-comité SC 27, Techniques de sécurité des technologies de l'information.Cette seconde édition annule et remplace la première édition (ISO/IEC 27018:2014), dont elle constitue
une révision mineure. La principale modification par rapport à l'édition précédente consiste en la
correction d'une erreur rédactionnelle à l'Annexe A.Il convient que l'utilisateur adresse tout retour d'information ou toute question concernant le présent
document à l'organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l'adresse www .iso .org/ fr/ members .html.vi © ISO/IEC 2019 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO/IEC 27018:2019(F)
Introduction
0.1 Historique et contexte
Les fournisseurs de services en nuage qui traitent des informations personnelles identifiables (PII,
Personally Identifiable Information) dans le cadre d'un contrat avec leurs clients ont besoin de conduire
leur prestation de services de manière à permettre aux deux parties de satisfaire aux exigences des
lois et réglementations applicables en matière de protection des PII. Les exigences et les modalités de
répartition des exigences entre le fournisseur de services en nuage et ses clients varient en fonction
de la compétence juridique et selon les conditions du contrat établi entre le fournisseur de services en
nuage et le client. La législation qui régit les modalités de traitement des PII (c'est-à-dire les modalités
de collecte, d'utilisation, de transfert et de mise au rebut) est parfois appelée «législation en matière
de protection des données); les PII sont parfois désignées comme «données à caractère personnel»
ou «informations personnelles». Les obligations qui incombent à un processeur de PII varient d'une
juridiction à l'autre, ce qui rend difficile pour les entreprises qui fournissent des services informatiques
en nuage d'opérer dans plusieurs pays.Un fournisseur de services en nuage public est un «processeur de PII» dès lors qu'il traite des PII pour
un client de services en nuage et suivant les instructions de ce dernier. Le client de services en nuage,
qui possède la relation contractuelle avec le processeur de PII du nuage public, peut être une personne
physique, une «personne concernée», qui traite ses propres PII dans le nuage, un organisme ou un
«contrôleur de PII», qui traite des PII en lien avec de nombreuses personnes concernées. Le client de
services en nuage peut autoriser un ou plusieurs utilisateurs de services en nuage qui lui sont associés
à utiliser les services mis à leur disposition dans le cadre de leur contrat avec le processeur de PII
d'un nuage public. Noter que le client de services en nuage a autorité sur le traitement et l'utilisation
des données. Un client de services en nuage qui agit également en tant que contrôleur de PII peut être
soumis à un plus vaste ensemble d'obligations régissant la protection des PII que ne l'est le processeur
de PII d'un nuage public. La distinction entre un contrôleur de PII et un processeur de PII repose sur le
fait que le processeur de PII d'un nuage public n'a, en ce qui concerne le traitement des données, aucun
objectif autre que ceux définis par le client de services en nuage pour ce qui a trait aux PII qu'il traite et
aux opérations nécessaires pour atteindre les objectifs du client de services en nuages.
NOTE Lorsque le processeur de PII du nuage public traite des données de compte d'un client de services en
nuage, il peut agir en qualité de contrôleur de PII à cette fin. Le présent document ne couvre pas cette activité.
L'intention du présent document, lorsqu'il est utilisé conjointement avec les objectifs et mesures de
sécurité de l'information de l'ISO/IEC 27002, est de créer un ensemble commun de catégories et de
mesures de sécurité pouvant être mis en œuvre par un fournisseur de services d'informatique en nuage
public agissant en tant que processeur de PII. Ses objectifs sont les suivants:— aider le fournisseur de services en nuage public à se conformer aux obligations applicables lorsqu'il
agit en qualité de processeur de PII, que ces obligations incombent directement au processeur de PII
ou qu'elles soient de nature contractuelle;— permettre au processeur de PII d'un nuage public de faire preuve de transparence pour toute
question pertinente de sorte que les clients de services en nuage puissent sélectionner des services
de traitement des PII en nuage correctement gouvernés;— assister le client de services en nuage et le processeur de PII d'un nuage public dans la conclusion
d'un accord contractuel;— fournir aux clients de services en nuage un mécanisme pour faire valoir les droits et responsabilités
en matière d'audit et de conformité dans les cas où des audits de clients de services en nuage
individuels portant sur des données hébergées dans un environnement de serveurs virtualisés
(«nuage») multipartie pourraient se révéler techniquement impossibles et pourraient amplifier les
risques pour les mesures de sécurité réseau physiques et logiques en place.Le présent document peut servir d'aide en fournissant un cadre de conformité commun pour les
fournisseurs de services en nuage public, en particulier ceux qui interviennent sur un marché
multinational.© ISO/IEC 2019 – Tous droits réservés vii
---------------------- Page: 7 ----------------------
ISO/IEC 27018:2019(F)
0.2 Mesures de protection des PII pour les services d'informatique en nuage public
Le présent document est destiné à servir de référence pour permettre aux organismes de sélectionner
des mesures de protection des PII dans le cadre du processus de mise en œuvre d'un système de
management de la sécurité de l'information pour l'informatique en nuage selon l'ISO/IEC 27001, ou à
servir de guide à l'attention d'organismes agissant en tant que processeurs de PII d'un nuage public
pour la mise en œuvre de mesures de protection des PII largement reconnues. Le présent document a
été plus particulièrement dérivé de l'ISO/IEC 27002, en tenant compte du ou des environnement(s) de
risque spécifique(s) découlant des exigences en matière de protection des PII qui peuvent s'appliquer
aux fournisseurs de services d'informatique en nuage public agissant en qualité de processeurs de PII.
En règle générale, un organisme qui met en œuvre l'ISO/IEC 27001 protège ses propres actifs
informationnels. Cependant, dans le contexte des exigences de protection des PII applicables à un
fournisseur de services en nuage public agissant en tant que processeur de PII, l'organisme protège
les actifs informationnels qui lui sont confiés par ses clients. La mise en œuvre des mesures de
l'ISO/IEC 27002 par le processeur de PII d'un nuage public à la fois convient à cette finalité et est
nécessaire. Le présent document complète les mesures de l'ISO/IEC 27002 pour refléter la nature
distribuée du risque et l'existence d'une relation contractuelle entre le client de services en nuage et le
processeur de PII d'un nuage public. Le présent document complète l'ISO/IEC 27002 de deux manières:
— des préconisations de mise en œuvre applicables à la protection des PII dans l'informatique en nuage
sont fournies pour certaines des mesures existantes de l'ISO/IEC 27002; et— l'Annexe A fournit un ensemble de mesures supplémentaires et de recommandations associées
visant à traiter les exigences en matière de protection des PII dans l'informatique en nuage public
qui ne sont pas couvertes par l'ensemble de mesures existant de l'ISO/IEC 27002.La plupart des mesures et recommandations du présent document s'appliquent également à un
processeur de PII. Cependant, le contrôleur de PII est, dans la plupart des cas, soumis à des obligations
supplémentaires qui ne sont pas spécifiées ici.0.3 Exigences en matière de protection des PII
Il est essentiel qu'un organisme identifie ses exigences en matière de protection des PII. Ces exigences
proviennent de trois sources principales, indiquées ci-dessous.a) Exigences légales, statutaires, réglementaires et contractuelles: la première source comprend les
exigences et obligations légales, statutaires, réglementaires et contractuelle...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.