Téléverser un fichier

revue de presse : iso/cei 27018 pour ebrc evidemment !

  • Home
  • Documents
  • Revue de presse : ISO/CEI 27018 POUR EBRC EVIDEMMENT !
1
Visit our website: www.solutions-magazine.com Solutions 252 - MARS 2015 [ 31 ] [ 30 ] Solutions 252 - MARS 2015 BUSINESS Cloud Managed Services ISO/CEI 27018 POUR EBRC EVIDEMMENT ! EBRC a naturellement adopté les meil- leures pratiques pour la protection des données personnelles dans ses services de cloud computing. «Hier, les entreprises sélectionnaient leur prestataire de ser- vices en fonction de leur infrastructure; aujourd’hui, elles se montrent plus sen- sibles aux critères sécurité au sens large. C’est une preuve de maturité, analyse Phi- lippe Dann, Head of Risk & Business Advi- sory Services, EBRC. Elle nous rassure. Et nous conforte dans notre stratégie.» Cette norme représente une avancée ma- jeure pour la maîtrise de la sécurité des services de cloud. Elle s’appuie principale- ment sur les normes ISO/CEI 17788 sur le cadre et le vocabulaire du cloud compu- ting, 27002 pour les bonnes pratiques de sécurité de l’information et 29100 pour le cadre de protection de la vie privée. Concrètement, la norme ISO/CEI 27018 aborde les spécificités liées au secteur du cloud. Selon cette méthodologie, trois sources sont à considérer afin de vérifier les exigences de sécurité : - l’environnement légal, réglementaire et contractuel; - l’évaluation des risques; - les références internes à l’entreprise. Véritable outil de co-régulation entre les acteurs du cloud et les autorités de contrôle, ISO/CEI 27018 permet de ré- pondre aux évolutions actuelles du cadre légal et réglementaire européen. C’est aussi une amélioration des moyens de protection au niveau international. «Ne perdez jamais de vue qu’une entreprise qui utilise un service de cloud compu- ting reste responsable des traitements: cela veut dire qu’elle doit s’assurer que son prestataire lui permettra de respecter ses obligations au regard de la législation, notamment en termes d’information des personnes concer- nées, d’encadrement des transferts et de sécurité des données… Est-ce le cas?» Poser la question c’est y répondre. C’est pourquoi EBRC investit dans les standards, seul véritable indicateur tangible en ma- tière de conformité. La transparence au bénéfice du client. De toute évidence, la normalisation a un coût. «Se faire auditer coûte cher en ressources. Fort heureu- sement, et cela se traduit via les appels d’offres, le marché adhère. J’observe que les prestataires ne peuvent s’en tenir au déclaratif, à tout le moins dans les projets que nous visons.» Et s’il existe d’autres normes, EBRC privilé- gie les plus importantes reconnues inter- nationalement. «L’ISO est un langage uni- versel, l’ISO est repris dans les différents référentiels, illustre Philippe Dann. C’est pourquoi nous cherchons toujours à les adopter au plus vite. Nous voulons rester un pionnier. Quand un prospect compare deux services managés, le fait de savoir que l’un est labellisé ISO ne pourra que le rassurer !» Pour l’ISO, le sous-traitant chargé du trai- tement de données personnelles pour le compte d’un responsable de traitement doit pouvoir démontrer son niveau de sécurité et sa conformité; il doit aussi of- frir les moyens de protéger les personnes concernées et leur permettre d’exercer leurs droits. C’est pourquoi l’ISO a publié ses trois premières normes totalement consacrées au cloud computing. Si les deux premières (ISO/IEC 17788 et ISO/ IEC 17789) s’attachent respectivement à «clarifier la définition du cloud» et à «dé- finir l’architecture fonctionnelle», l’ISO/IEC 27018 renforce les contrôles de sécuri- té de la norme ISO IEC 27001 (Manage- ment de la sécurité de l’information) pour maximiser la protection des données per- sonnelles; elle garantit la transparence et permet aux fournisseurs de cloud public de se conformer à leurs obligations rè- glementaires. «Chez EBRC, cela signifie: pas de sous-traitant dans la chaîne d’in- formation, une maîtrise complète. Ce qui sous-entend une meilleure capacité à gérer les risques. Nous n’avons pas à auditer d’éventuels fournisseurs dans le sens où nous ne pratiquons pas d’out- sourcing en cascade: nous sommes les seuls maîtres -et les seuls responsables- à bord.» Et Philippe Dann de conseiller aux entre- prises de prendre le temps d’évaluer les candidats prestataires avant de s’enga- ger. «Comparez sur base d’éléments tan- gibles, par métiers, par secteurs d’acti- vités; comparez-les sur base d’une grille d’évaluation stricte. Dites-vous que si vous pouvez accéder très rapidement à n’importe quel service à travers le cloud, vous choisirez un partenaire pour longtemps. Autant il est aisé d’entrer dans le cloud, autant il peut être diffi- cile... d’en sortir !» L’ISO/CEI 27018 en pratique L’adhérence à la norme ISO/CEI 27018 permet d’assurer la propriété des don- nées de plusieurs façons, notamment en garantissant que EBRC traite «seulement des informations personnellement iden- tifiables selon les instructions fournies par ses clients» et «garantit la transpa- rence en matière de politique sur le re- tour, le transfert et la suppression des informations personnelles stockées dans nos centres de données» en permettant aux clients de connaître l’emplacement de leurs données dans les data centres, les noms des entreprises qui auraient éven- tuellement besoin d’accéder aux données ainsi que tout accès non autorisé aux in- formations personnelles identifiables. Et également d’être tenu au courant en cas de demandes d’accès à des données pri- vées par des États. La norme ISO/CEI 27018 assure égale- ment qu’il y a des restrictions définies sur la façon dont nous traitons les informa- tions personnelles identifiables, y compris celle sur la transmission sur les réseaux publics, le stockage sur un média trans- portable et les processus appropriés de récupération de données. En outre, la norme assure que toutes les personnes, y compris nos propres employés qui traitent des informations personnelle- ment identifiables, sont soumises à une obligation de confidentialité. > L’ISO/CEI 27018, une évidence pour le spécialiste de la gestion de l’information sensible. L’EUDCA a joué un rôle actif dans l’élaboration de la norme ISO 27018 L’European Data Centre Association, dont EBRC est l’un des membres fondateurs, est une association qui défend les intérêts des clients des fournis- seurs de services de l’industrie du data dentre. L’EUDCA, qui se veut résolument européenne, vise à fédérer tous les pays du continent. L’association a pour objectif la promotion, auprès des autorités politiques ou de toute autre partie prenante, d’une vision européenne de l’IT. En avril 2013, l’EUDCA a été ad- mise au sein de l’ISO en tant que contributeur externe au groupe de travail ISO/IEC JTC 1/SC 27 WG5, Identity Management, Pri- vacy Technology, and Biometric et plus particulièrement à la nouvelle norme ISO/IEC 27018. Cette dernière définit les moy- ens à mettre en œuvre pour assurer la sécurité des données privées hébergées dans un cloud public: lorsqu’un client place ses données privées dans le cloud, quelles mesures peut-il imposer à son fournisseur de services pour s’assurer que les bonnes pratiques de sécurité sont respectées et que ses don- nées sont stockées de manière sécurisée ? EBRC, à travers son rôle fondateur au sein de l’EUDCA, a suivi de près l’élaboration de la norme ISO 27018.

Upload: ebrc

Post on 08-Apr-2016

218 views

Category:

Documents


2 download

Report

DESCRIPTION

L’ISO/CEI 27018, une évidence pour le spécialiste de la gestion de l’information sensible.

TRANSCRIPT

Page 1: Revue de presse : ISO/CEI 27018 POUR EBRC EVIDEMMENT !

Visit our website: www.solutions-magazine.com Solutions 252 - MARS 2015 [ 31 ] [ 30 ] Solutions 252 - MARS 2015

BUSINESS ❱ Cloud Managed Services

ISO/CEI 27018 POUR EBRC EVIDEMMENT !

EBRC a naturellement adopté les meil-leures pratiques pour la protection des données personnelles dans ses services de cloud computing. «Hier, les entreprises sélectionnaient leur prestataire de ser-vices en fonction de leur infrastructure; aujourd’hui, elles se montrent plus sen-sibles aux critères sécurité au sens large. C’est une preuve de maturité, analyse Phi-lippe Dann, Head of Risk & Business Advi-sory Services, EBRC. Elle nous rassure. Et nous conforte dans notre stratégie.»

Cette norme représente une avancée ma-jeure pour la maîtrise de la sécurité des services de cloud. Elle s’appuie principale-

ment sur les normes ISO/CEI 17788 sur le cadre et le vocabulaire du cloud compu-ting, 27002 pour les bonnes pratiques de sécurité de l’information et 29100 pour le cadre de protection de la vie privée.

Concrètement, la norme ISO/CEI 27018 aborde les spécificités liées au secteur du cloud. Selon cette méthodologie, trois sources sont à considérer afin de vérifier les exigences de sécurité :- l’environnement légal, réglementaire et

contractuel;- l’évaluation des risques;- les références internes à l’entreprise.

Véritable outil de co-régulation entre les acteurs du cloud et les autorités de contrôle, ISO/CEI 27018 permet de ré-pondre aux évolutions actuelles du cadre légal et réglementaire européen. C’est aussi une amélioration des moyens de protection au niveau international. «Ne perdez jamais de vue qu’une entreprise qui utilise un service de cloud compu-ting reste responsable des traitements: cela veut dire qu’elle doit s’assurer que son prestataire lui permettra de respecter ses obligations au regard de la législation, notamment en termes d’information des personnes concer-nées, d’encadrement des transferts

et de sécurité des données… Est-ce le cas?»

Poser la question c’est y répondre. C’est pourquoi EBRC investit dans les standards, seul véritable indicateur tangible en ma-tière de conformité. La transparence au bénéfice du client. De toute évidence, la normalisation a un coût. «Se faire auditer coûte cher en ressources. Fort heureu-sement, et cela se traduit via les appels d’offres, le marché adhère. J’observe que les prestataires ne peuvent s’en tenir au déclaratif, à tout le moins dans les projets que nous visons.»

Et s’il existe d’autres normes, EBRC privilé-gie les plus importantes reconnues inter-nationalement. «L’ISO est un langage uni-versel, l’ISO est repris dans les différents référentiels, illustre Philippe Dann. C’est pourquoi nous cherchons toujours à les adopter au plus vite. Nous voulons rester un pionnier. Quand un prospect compare deux services managés, le fait de savoir que l’un est labellisé ISO ne pourra que le rassurer !»

Pour l’ISO, le sous-traitant chargé du trai-tement de données personnelles pour le compte d’un responsable de traitement doit pouvoir démontrer son niveau de sécurité et sa conformité; il doit aussi of-frir les moyens de protéger les personnes concernées et leur permettre d’exercer leurs droits. C’est pourquoi l’ISO a publié ses trois premières normes totalement

consacrées au cloud computing. Si les deux premières (ISO/IEC 17788 et ISO/IEC 17789) s’attachent respectivement à «clarifier la définition du cloud» et à «dé-finir l’architecture fonctionnelle», l’ISO/IEC 27018 renforce les contrôles de sécuri-té de la norme ISO IEC 27001 (Manage-ment de la sécurité de l’information) pour maximiser la protection des données per-sonnelles; elle garantit la transparence et permet aux fournisseurs de cloud public de se conformer à leurs obligations rè-glementaires. «Chez EBRC, cela signifie: pas de sous-traitant dans la chaîne d’in-formation, une maîtrise complète. Ce qui sous-entend une meilleure capacité à gérer les risques. Nous n’avons pas à auditer d’éventuels fournisseurs dans le sens où nous ne pratiquons pas d’out-sourcing en cascade: nous sommes les seuls maîtres -et les seuls responsables- à bord.»

Et Philippe Dann de conseiller aux entre-prises de prendre le temps d’évaluer les candidats prestataires avant de s’enga-ger. «Comparez sur base d’éléments tan-gibles, par métiers, par secteurs d’acti-vités; comparez-les sur base d’une grille d’évaluation stricte. Dites-vous que si vous pouvez accéder très rapidement à n’importe quel service à travers le cloud, vous choisirez un partenaire pour longtemps. Autant il est aisé d’entrer dans le cloud, autant il peut être diffi-cile... d’en sortir !»

L’ISO/CEI 27018 en pratique

L’adhérence à la norme ISO/CEI 27018 permet d’assurer la propriété des don-nées de plusieurs façons, notamment en garantissant que EBRC traite «seulement des informations personnellement iden-tifiables selon les instructions fournies par ses clients» et «garantit la transpa-rence en matière de politique sur le re-tour, le transfert et la suppression des informations personnelles stockées dans nos centres de données» en permettant aux clients de connaître l’emplacement de leurs données dans les data centres, les noms des entreprises qui auraient éven-tuellement besoin d’accéder aux données ainsi que tout accès non autorisé aux in-formations personnelles identifiables. Et également d’être tenu au courant en cas de demandes d’accès à des données pri-vées par des États.

La norme ISO/CEI 27018 assure égale-ment qu’il y a des restrictions définies sur la façon dont nous traitons les informa-tions personnelles identifiables, y compris celle sur la transmission sur les réseaux publics, le stockage sur un média trans-portable et les processus appropriés de récupération de données. En outre, la norme assure que toutes les personnes, y compris nos propres employés qui traitent des informations personnelle-ment identifiables, sont soumises à une obligation de confidentialité. ■

> L’ISO/CEI 27018, une évidence pour le spécialiste de la gestion de l’information sensible.

L’EUDCA a joué un rôle actif dans l’élaboration de la norme ISO 27018 L’European Data Centre Association, dont EBRC est l’un des membres fondateurs, est une association qui défend les intérêts des clients des fournis-seurs de services de l’industrie du data dentre. L’EUDCA, qui se veut résolument européenne, vise à fédérer tous les pays du continent. L’association a pour objectif la promotion, auprès

des autorités politiques ou de toute autre partie prenante, d’une vision européenne de l’IT.

En avril 2013, l’EUDCA a été ad-mise au sein de l’ISO en tant que contributeur externe au groupe de travail ISO/IEC JTC 1/SC 27 WG5, Identity Management, Pri-vacy Technology, and Biometric et plus particulièrement à la

nouvelle norme ISO/IEC 27018. Cette dernière définit les moy-ens à mettre en œuvre pour assurer la sécurité des données privées hébergées dans un cloud public: lorsqu’un client place ses données privées dans le cloud, quelles mesures peut-il imposer à son fournisseur de services pour s’assurer que les bonnes pratiques de sécurité

sont respectées et que ses don-nées sont stockées de manière sécurisée ?

EBRC, à travers son rôle fondateur au sein de l’EUDCA, a suivi de près l’élaboration de la norme ISO 27018.

PECB Certified ISO 31000 Risk Manager · 2019-03-14 · En étant titulaire d’une certification PECB, ... h Connaître la corrélation entre la norme ISO 31000 et la norme CEI/ISO

5.9 RÉSUMÉ NON TECHNIQUE - ariege.gouv.fr©sumé non... · estimer le risque [en découlant, ndlr]» (ISO/CEI 73). Phénomène dangereux (ou phénomène redouté) ... (ISO/CEI 51)

PECB Certified ISO/CEI 27001 Lead Auditor - oo2.fr · Maîtrisez l’audit d’un Système de management de la sécurité de l’information (SMSI) conforme à la norme ISO/CEI 27001

Deployment Package – Exigences de la norme ISO/CEI …profs.etsmtl.ca/claporte/ISO20000/Trousses/Conduite de l... · Web viewEn se basant sur le référentiel ISO/CEI 20000, le

CONNEX - PFISTERER...CEI 62271-203 Traversées selon CEI 60137 Parafoudres CEI 60099-4 Traversée CEI 60137 Fiches isolantes CONNEX connecteur CEI 60840 / CEI 62067 Transformateur

NORME ISO/CEI INTERNATIONALE 14651 - Unicode · 2009-01-16 · NOTE 1 La présente norme internationale déconseille mais n’empêche pas la référence aux anciennes tables ISO

Manuale della Qualità - arpa.vda.it · UNI EN ISO 9001:2015 Riferimento UNI CEI EN ISO/IEC 17025:2018 Riferimento RT-08 ACCREDIA 7 Industriale4 7.4 Produzione ed erogazione del servizio

5990-4540FR_Compréhension et mise en oeuvre de la norme ISO-CEI 17025

Présentation du Cofrac Processus d’accréditation des ... · Processus d’accréditation 2 TYPES D'EXIGENCES • GENERALES – NF EN ISO/CEI 17025 : 2005 (et/ou NF EN ISO 15189

Formation ISO 27005 · 2018-11-09 · La formation « ISO/CEI 27005 Risk Manager » vous permettra de développer les compétences pour maîtriser les processus liés à tous les

Formation ISO/CEI 27001 Lead Auditor - dsih-metiers.fr

Développement d’un lecteur multimédia sous Windows Mobile · (ISO/CEI 13818-3) et a été amélioré en MPEG-4, MPEG-4 Version 2 et MPEG-4 Version 3 (ISO/CEI 14496-3). Il a été

Campagne de comparaison interlaboratoires...2016/01/15  · 6 ISO 5725, in Exactitude (justesse et fidélité) des résultats et méthodes de mesure. 1994. 7 ISO/CEI Guide 43-1, in

Nos Services · ISO 15189 et NF EN ISO/CEI ISO 17025 • Amélioration de la compatibilité avec plusieurs navigateurs (IE, Chrome, Mozilla Firefox) › Nos architectures & solutions

Certification ISO 27001: enjeux globaux pour les sociétés ...dcc-consulting.ch/public/pdf/ISO 27001-2013.pdf · - ISO/CEI 27001:2005 qui introduit la notion de SMSI et offre la

Mise en place de systèmes pour la conformité et l ... · ISO/CEI 17011 2. Evaluation par des pairs 3. certification ISO/CEI Evaluation des compétences 4. Laboratoires d'essais

ACCREDITATION ISO/CEI 17025 Une Première en Algérie

Après EN 954-1… IEC/EN 62061, ISO/EN 13849-1 · IN MACHINE’2009 J. P. BUCHWEILLER : Après EN 954-1 : IEC/EN 62061/ISO et EN 13849-1 1 ... Les normes CEI 62061 et ISO 13849-1

ISO/CEI 20000-1 Certification de Systèmes et de Compétences Philippe Bourdalé Département Développement

Révision de la norme NF EN ISO/CEI 17025 · Forum Accréditation et Laboratoires –30 juin 2015 Projets Communication 2010/2011 Révision de la norme NF EN ISO/CEI 17025 Par Pascal

Formation ISO/CEI 27001 Lead auditor · ... conforme à la norme ISO /CEI 27001 • Expliquer la corrélation entre la norme ISO/CEI 27001 et la norme ISO/CEI 27002, ... Jour 1 Introduction

PECB Certified ISO/CEI 38500 IT Governance Manager...La formation ISO/CEI 38500 IT Governance Manager vous permettra d’acquérir une compréhension approfondie des principes fondamentaux

AFNOR Normalisation Management labortoiraes …normalisation.afnor.org/.../06/PF-ISO-ISO-CEI-17025-2016.pdfPlate-forme d’Échanges Régionale “ Anticipez l’évolution de la norme

Formation ISO 27005...La formation « ISO/CEI 27005 Risk Manager » vous permettra de développer les compétences pour maîtriser les processus liés à tous les actifs pertinents

AFNOR Normalisation Management labortoiraes essais ...La publication de l’ISO/CEI 17025 est attendue pour octobre 2017. En rejoignant une plate-forme d’échanges ISO/CEI 17025

MANUEL QUALITE DE CERTIPAQ - Inter-Med · norme NF EN ISO/CEI 17065 : 2012 et documents d’application, inspection conformément aux exigences de la norme NF EN ISO/CEI 17020 : 2012

PECB Certified ISO/CEI 27001 Lead Auditor - … · La formation ISO/CEI 27001 Lead Auditor vous permettra d’acquérir l’expertise nécessaire pour réaliser des audits de Systèmes

Nom de l’OEC · Web viewRapport d’audit Nom de l’OEC ISO/CEI 17025 N d'identification ISO/CEI 17020 N d'identification ISO/CEI 17065 N d'identification F003a - 2018/05 - Version

PECB Certified ISO/CEI 27001 Lead Implementer · 2019-10-18 · PECB Certified ISO/CEI 27001 Lead Implementer Maîtrisez la mise en œuvre et la gestion d’un Système de management

Plan de Continuité d'Activité pour les PME/PMI de la ... · ISO/CEI Guide 73:2009 "Management du risque — Vocabulaire — Principes ... ISO/IEC 27001 pour les PME – Conseils

La norme NF EN ISO/CEI 17025 Mise en œuvre au CTP

ISO/CEI 17021:2011 CompÉtence

Formation LEAD AUDITOR - Certification ISO et …L’examen « PECB Certified ISO/CEI 27001 Lead Auditor » remplit les exigences relatives au programme d’examen et de certification

Formation ISO/IEC 27001 Lead Implementer - dsih-metiers.fr · L’examen « PECB Certified ISO/CEI 27001 Lead Implementer » remplit les exigences relatives au programme d’exa-men

NORME ISO/CEI INTERNATIONALE 9594-2