ISO 27018 spezialisiert Controls aus ISO 27002 derartig, dass spezifische Anforderungen zum Datenschutz beim Cloud-Computing in ein ISMS aufgenommen werden können. Somit kann ein Zertifikat gem. ISO/IEC 27001 auch den Nachweis für die Erfüllung dieser Spezialnorm erbringen.

Wichtig: Nach dieser Norm kann nicht direkt zertifiziert werden. Zertifiziert wird stets ein ISMS gem. ISO/IEC 27001.

Wie wird nun ISO 27018 in ein ISO 27001-konformes ISMS eingebunden? Im Rahmen der Risikoanalyse werden typischerweise Maßnahmen (sogenannte Controls) herangezogen, um Risiken zu begegnen; diese Auswahl von Maßnahmen wird im sogenannten Statement of Applicability (SOA) fixiert. Das SOA bildet somit den Maßstab für das ISMS. Aus diesem Grund wird das jeweilige SOA auch im Zertifikat explizit referenziert. Meist werden Controls aus der ISO 27002 herangezogen; es lassen sich aber auch andere einschlägige Standards anwenden – beispielsweise ISO/IEC 27018 Dadurch, dass diese Norm dann im SOA aufgeführt ist, ist sie Bestandteil einer Zertifizierung gem. ISO/IEC 27001.

Lesen Sie mehr unter: ISO/IEC 27018.