12 – Audit et conformité ISO/IEC 27018
Info
ISO/IEC 27018 est une norme de lignes directrices, mais son implémentation peut être auditable et valorisable dans un cadre ISO/IEC 27001.
Types d’audit possibles
- Audit interne : vérifie l’application des contrôles PII
- Audit de seconde partie : client ou partenaire
- Audit de tierce partie : dans le cadre d’une certification ISO 27001
Éléments à démontrer
- Journalisation des accès aux PII
- Contrôles d’accès granulaire
- Politique de confidentialité
- Gestion des incidents documentée
- Communication claire aux clients
- Transparence sur la localisation, la sous-traitance
Bonnes pratiques
Tip
Utiliser des checklists combinées ISO 27001 + 27018 pour évaluer son niveau de maturité Cloud & PII.
Example
Préparer un tableau de conformité croisé RGPD / ISO 27018 pour chaque exigence client.