05 – Mesures supplémentaires de sécurité (contrôles spécifiques ISO/IEC 27018)
Info
ISO/IEC 27018 propose une extension d’ISO/IEC 27002, en y ajoutant des contrôles dédiés à la protection des PII dans le Cloud.
Exemples de contrôles spécifiques :
| Réf. | Thème | Description |
|---|---|---|
| A.10.1.1 | Politique de confidentialité | Définir et maintenir une politique de confidentialité propre au Cloud |
| A.11.1.2 | Journalisation spécifique | Conserver des logs sur l’accès aux PII par le fournisseur |
| A.11.2.1 | Suppression définitive | S’assurer que les données supprimées ne sont pas récupérables |
| A.12.4.1 | Traçabilité | Permettre à l’auditeur d’accéder à des preuves d’activité (logs) |
| A.13.1.3 | Séparation des clients | Séparer logiquement les données de chaque client dans le Cloud |
| A.18.1.4 | Sous-traitants secondaires | Informer les clients de tout sous-traitant qui pourrait traiter leurs données |
| Elles seront détaillé dans 09_Exigences_Detaillees_27018. |
Warning
Ces mesures ne remplacent pas les contrôles d’ISO 27001, mais viennent les compléter spécifiquement dans un contexte Cloud public.