ISO/IEC 27018 Ochrona Danych Osobowych w Chmurze

Certyfikat ISO/IEC 27018,

To potwierdzenie, że Twoja firma dba o ochronę danych osobowych w chmurze. Uzyskanie certyfikatu zwiększa zaufanie klientów i daje jasny sygnał partnerom biznesowym, że przekazywane dane osobowe są odpowiednio chronione.

Co to jest ISO/IEC 27018?

Certyfikat ISO/IEC 27018 PII – Personally Identifiable Information (PN-EN ISO/IEC 27018:2020) potwierdza, że organizacja wdrożyła skuteczny system zarządzania ochrony danych osobowych w chmurze. Norma ta, jest stosowana w połączeniu ze standardem ISO/IEC 27002 oraz ISO/IEC 27001 gdyż rozszerza jej wymagania o specyficzne zabezpieczenia związane z przetwarzaniem danych osobowych. Podstawą normy z rodziny ISO 27 jest analiza ryzyka, pozwalająca każdej firmie – niezależnie od branży – dostosować rozwiązania do własnych potrzeb. Certyfikacja ISO/IEC 27018 pomaga uporządkować procesy, zwiększyć bezpieczeństwo danych osobowych w chmurze i tym samym wiarygodność organizacji.

Certyfikacja ISO 27018 – jakie działania obejmuje?

Certyfikacja ISO/IEC 27018 PII to proces, który potwierdza, że system zarządzania ochrony danych osobowych w chmurze w Twojej organizacji działa skutecznie i zgodnie z wymaganiami normy. Organizacja powinna wcześniej wdrożyć SZBI, przeprowadzić analizę ryzyka, audyt wewnętrzny i przegląd zarządzania.
Wdrożyłeś System Zarządzania Bezpieczeństwem Informacji (SZBI), ale nie jesteś pewien, czy wszystko działa zgodnie z wymaganiami normy ISO/IEC 27001? 
Zastanawiasz się, czy Twoja organizacja jest gotowa na audyt certyfikacyjny?
Skorzystaj z audytu wstępnego – to nieobowiązkowe/opcjonalne działanie, które pomoże Ci się lepiej przygotować. W ramach tego audytu przeprowadzamy spotkanie informacyjne, analizujemy dokumentację i wskazujemy ewentualne obszary do poprawy. Dzięki temu zwiększysz swoje szanse na pomyślną certyfikację i unikniesz niepotrzebnych niespodzianek.

Masz pytania? Skontaktuj się z nami – chętnie pomożemy! 

Jesteś gotowy, aby przystąpić do procesu certyfikacji? Poniżej przedstawiamy główne etapy, które prowadzą do uzyskania certyfikatu ISO/IEC 27018. Certyfikacja ISO/IEC 27018 może zostać przeprowadzona wraz z audytem certyfikacyjnym ISO/IEC 27001 jako systemy zintegrowane lub po pomyślnym zakończeniu audytu certyfikacyjnego na zgodność z ISO/IEC 27001 – rozszerzenie certyfikacji.

1. Audyt certyfikujący – składający się z  2 etapów: 

ETAP I – celem tego etapu jest potwierdzenie gotowości organizacji do przeprowadzenia audytu certyfikacyjnego na etapie drugim. 

• Analiza samooceny klienta – przekażemy Ci formularz samooceny, który należy uzupełnić.
• Audytor oceni formularz oraz przekazaną dokumentację (za pośrednictwem serwera FTP do transferu plików).
• Przewidujemy także audyt na miejscu (w formie zdalnej lub stacjonarnej).

ETAP II

• Przegląd wdrożonego systemu zarządzania – weryfikacja, czy organizacja działa zgodnie z wymaganiami normy.
•  Audyt na miejscu (stacjonarny lub zdalny) – analiza procesów, dokumentacji oraz sposobu funkcjonowania organizacji.
• Wywiady z pracownikami – rozmowy z kluczowym personelem w celu potwierdzenia znajomości i stosowania procedur.
• Ocena zgodności i skuteczności działań – sprawdzenie, czy organizacja realizuje wymagania normy w praktyce.
• Identyfikacja niezgodności i obszarów do doskonalenia.
• Podsumowanie wyników audytu – przedstawienie wniosków, wstępnego raportu i omówienie dalszych kroków.

2. Raport i rekomendacja
Sporządzenie raportu z audytu, jego weryfikacja oraz rekomendacja do wydania certyfikatu.

3. Decyzja i wydanie certyfikatu
Po pozytywnej decyzji jednostki – otrzymujesz certyfikat ISO/IEC 27018 ważny przez 3 lata pod warunkiem corocznych audytów nadzoru.

4. Pierwszy audyt nadzoru
Musi odbyć się do 12 miesięcy od daty podjęcia decyzji certyfikacyjnej.

5. Drugi audyt nadzoru
Powinien zostać przeprowadzony do 24 miesięcy od decyzji certyfikacyjnej, przy czym należy zachować zasadę, że audyt nadzoru odbywa się co najmniej raz w roku.

6.Recertyfikacja
Po trzech latach – złożenie wniosku o ponowną certyfikację i rozpoczęcie procesu certyfikacji z jednoetapowym audytem w pierwszym roku.

Przygotowanie do certyfikacji ISO/IEC 27018

Krok pierwszy: zastosowanie wymagań normy, czyli wdrożenie systemu zarządzania bezpieczeństwem informacji oraz ochrony danych osobowych w organizacji.

Krok drugi: kontakt z jednostką certyfikującą systemy zarządzania na zgodność z normą ISO/IEC 27001 oraz ISO/IEC 27018. Pamiętaj, że jednostka certyfikująca musi uzyskać więcej informacji o Twojej organizacji, dlatego na tym etapie poprosimy Cię o wypełnienie wniosku o certyfikację wraz z załącznikiem. W przypadku jakichkolwiek pytań nie wahaj się i skontaktuj się z nami, a postaramy się na nie odpowiedzieć.

Kiedy wypełniony wniosek trafia do nas, przystępujemy do trzeciego kroku, czyli analizy. Robimy to, aby mieć pewność, że mamy zdolność i kompetencje do przeprowadzenia audytu w Twojej firmie, a także określamy liczbę dni audytowych potrzebnych na proces certyfikacji systemu zarządzania bezpieczeństwem informacji. Zwieńczeniem tego etapu jest przygotowanie oferty w formie elektronicznej.

Jeśli zdecydujesz się na współpracę z nami, to kolejny etap obejmuje podpisanie umowy i ustalenie dogodnego terminu audytu certyfikującego systemu zarządzania bezpieczeństwem informacji. Tak zaczyna się proces certyfikacji ISO 27001 z rozszerzeniem ISO 27018!

Certyfikat ISO/IEC 27018 – cena

Koszt procesu certyfikacji ISO/IEC 27018 zależy od wielu czynników (takich jak liczba pracowników czy lokalizacji) i wylicza się go na podstawie regulacji dotyczące obszaru 27001, które obowiązują jednostki certyfikujące. Najprostszym sposobem oszacowania kosztów jest wypełnienie wniosku o certyfikację i otrzymanie od nas oferty, która do niczego nie zobowiązuje.

Zapraszamy do dołączenia do grona naszych klientów!