ISO 27018 er adfærdskodeksen for beskyttelse af personligt identificerbare oplysninger (PII) i offentlige skyer. Vi vil undersøge, hvad det betyder for både udbydere og kunder.
ISO/IEC 27018 er den internationale standard for beskyttelse af personlige oplysninger i cloud storage. Betegnelsen for de personoplysninger, den dækker, er Personligt identificerbare oplysninger eller PII. ISO 27018 er en adfærdskodeks for offentlige cloud-tjenesteudbydere.
ISO 27018 gør to ting:
Disse ekstra kontroller er ikke dækket af ISO 27002.
ISO 27018 giver generisk aftalt vejledning om informationssikkerhedskategorier. Standarden er rettet mod offentlige cloud-tjenesteudbydere, der fungerer som PII-processorer.
Dens vigtigste mål er at:
Ifølge IBM Securitys 2020 Data Breach Report involverer 80 % af alle databrud PII. Sikring af PII dækker en række foranstaltninger, hvoraf nogle allerede vil være bekendt. Disse omfatter:
UK's Information Commissioner's Office (ICO) giver fuld vejledning om, hvad der tæller som PII. Du kan læse den link..
En PII-behandler er enhver offentlig cloud-tjenesteudbyder, der behandler personoplysninger for deres kunder. Husk, at den oprindelige klient kan være PII-controlleren, hvilket skaber separate juridiske forpligtelser for dem. ISO/IEC 27018 dækker ikke nogen af disse ekstra krav.
ISMS.online gør opsætning og administration af dit ISMS så nemt som muligt.
Vi kan ikke komme i tanke om nogen virksomhed, hvis service kan holde et lys til ISMS.online.
Kan du identificere, hvem en person er ud fra de data, de giver dig? Hvis du kan, er det personligt identificerbare oplysninger. Per definition er PII information, der kunne linke tilbage for at identificere en person. PII kan omfatte:
Der er mange fordele ved at behandle PII gennem skyen. Brug af cloud storage til PII reducerer driftsomkostningerne sammenlignet med lagring af data på stedet. Det gør også information mere tilgængelig, når du er fjernbetjening. Men datalagring i skyen kan være risikabelt. Du skal være sikker på, at en cloud-udbyder har det bedste kontroller på plads for at holde dine oplysninger sikre. Hvis du er en cloud-udbyder, skal du vise dine kunder, at du har fremragende sikkerhedskontrol på plads.
ISO 27018 klassificerer cloud-tjenesteudbydere som databehandlere, når de behandler din organisations personlige data. Din organisation forbliver klassificeret som dataansvarlig selv når en cloud-tjenesteudbyder behandler dine data for dig. Både databehandlere og dataansvarlige har juridisk ansvar for PII-beskyttelse.
ledelsesmiljøet for informationssikkerhed er under hastig udvikling. Den tekniske standard ISO/IEC 27001 omhandler ikke PII. Så ISO skabte en ny, supplerende standard i 2014, ISO 27018. Den nye standard adresserer bekymringer om virksomheder, der behandler persondata hos cloud-tjenesteudbydere. ISO/IEC 27018:2020 er den tredje version af 2014-dokumentet.
ISO/IEC 27018:2020 er den seneste version af ISO 27018. Forskellene mellem ISO 27018:2019 og ISO 27018:2020 er i det væsentlige tekniske. For alle praktiske formål kan du behandle 2019- og 2020-versionerne af ISO 27018 som værende identiske.
2019-versionen af ISO 27018 indeholdt kun mindre revisioner fra 2014-versionen. Den nye version af ISO 27018:
At definere ISO 27018 som et dokument og ikke en standard er mere teknisk præcist, fordi den aftalte standard for en Information Security Management System (ISMS) er ISO 27001.
ISO har trukket ISO/IEC 27018:2014 tilbage.
Jeg vil bestemt anbefale ISMS.online, det gør opsætning og administration af dit ISMS så nemt som det kan blive.
ISO 27018 er en af ISO 27000-familien af styringsstandarder for informationssikkerhed. ISO 27000-standarderne giver en internationalt anerkendt infosec-ramme.
ISO 27001 opstiller de tekniske krav til etablering af et ISMS. Overholdelse af ISO 27001 er den grundlæggende standard for datasikkerhed. ISO 27018 tilføjer vejledning om cloud-tjenestedatabeskyttelse til ISO 27001.
I stedet for at vælge mellem ISO 27001 eller 27018, så tænk på at implementere dem sammen. ISO 27001 er den bedste ramme for at skabe et ISMS, der fokuserer på risikostyring. ISO 27018 tilføjer vejledning til at opnå robust sikkerhed i skyen.
ISO 27701 dækker håndtering af privatlivsoplysninger, der opstiller krav og vejledning til implementering af et privatlivsinformationsstyringssystem (PIMS). Standarden giver også vejledning til PII-controllere og -processorer, herunder implementeringsrådgivning afhængigt af:
ISO 27701 er knyttet til ISO 27018 og EU's GDPR-lovgivning. Det er en udvidelse af ISO 27001, den grundlæggende standard for datasikkerhed.
Hvis din organisation arbejder i EU, skal du overholde og bør være opmærksom på GDPR (General Data Protection Regulation). Det er en EU-lov (og Storbritannien, post-Brexit), der regulerer behandlingen af personoplysninger. GDPR gælder ikke kun for EU-lande. Loven gælder også for enhver organisation, der leverer varer eller tjenesteydelser til EU.
GDPR og ISO 27018 har lidt forskellige funktioner. GDPR opstiller regler om databeskyttelse og databeskyttelse. ISO 27018 giver dig en praktisk ramme til at håndtere databeskyttelses- og informationssikkerhedsrisici. Implementering af ISO 27001, sammen med 27018, giver dig et solidt grundlag for overholdelse af GDPR.
ISO 27018 linker til ISO/IEC 29100. ISO 29100 giver:
ISO 29100 links til ISO 27018 af:
ISO 29100 etablerer også vigtige privatlivsprincipper og terminologi.
Book en skræddersyet hands-on session baseret på dine behov og mål.
Cybersikkerhed er et massivt problem for virksomhedernes tillid. I dagens globale markedsplads har beskyttelse af kundedata aldrig været mere kritisk. ISO 27018 skaber en robust global overholdelsesramme.
ISO 27018 er særligt nyttigt for cloud-serviceklienter. Det understøtter revision for overholdelse af interne ansvarsområder. Dette er især nyttigt, når databehandleren er en tredjeparts cloud-udbyder.
Andre fordele ved ISO 27018 er, at det:
Denne standard er relevant for mange typer af organisationer. Uanset om du er:
hvis du behandle PII-data via cloud computing er ISO 27018 noget for dig.
Hvis du udliciterer PII til en anden virksomhed, vil due diligence vise, om de arbejder med ISO/IEC 27018. Enhver tjenesteudbyder, der bruger skyen eller PII, bør overveje ISO 27018.
De fleste kendte cloud-tjenesteudbydere er udvikler eller har udviklet sikkerhed foranstaltninger til beskyttelse af PII. Større industriaktører, der allerede har ISO/IEC 27018-kompatible politikker omfatter:
Der er tre områder, du bør se på, når du overvejer at implementere ISO 27018:
Bemærk, at disse områder også er dækket af ISO 27001. ISO 27018 fokuserer dybere på PII og cloud computing-tjenester.
Når du vedtager ISO 27018, er det god praksis at starte med at forstå dit udgangspunkt. Det er vigtigt at bygge videre på det, der allerede er på plads. Du skal også identificere eventuelle huller, der kan øge risikoen for et databrud i skyen. En streng selvevalueringsproces vil nå disse mål.
Når du har etableret dit udgangspunkt, skal du investere i intern kommunikation. Giv dine kolleger besked om eventuelle planlagte ændringer og involver dem i diskussioner om, hvorfor de er nødvendige. Det vil hjælpe dig:
ISO 27018 en adfærdskodeks, ikke en standard. ISO 27018-certificering er generelt inkluderet i ISO 27001-revisionsprocessen, hvis den er inkluderet som en tilføjelse til ISMS.
For at opnå certificering til en ISO-standard vil en kompetent revisor udføre en audit. Revisor vil kontrollere, om organisationen opfylder ISO-kriterierne, eller om der er huller. Dette er kendt som en fase 1-revision.
Efter revisionen vil organisationen have tid til at løse eventuelle huller i:
Efter nogle uger vender revisor tilbage til trin 2-revisionen. Dette er en meget længere og mere dybdegående audit end fase 1. Din fase 2 audit vil sikre, at ISMS'et rent faktisk fungerer som designet og implementeret.
Tildelingen af ISO-certificering følger dette besøg, forudsat at ISMS opfylder alle kriterier. Revisoren vil besøge organisationen periodisk (normalt årligt) for at bekræfte din fortsatte overholdelse. For at bevare din ISO-certificerede status skal du bestå dine årlige vedligeholdelsesrevisioner.
ISO/IEC 27018 udvider vejledningen til implementering af sikkerhedskontroller i ISO/IEC 27002. Disse kontroller opdeler ansvaret for databeskyttelse i:
De udvidede sikkerhedskontroller omfatter:
Du skal også bruge et ekstra sæt sikkerhedskontroller. Disse stemmer overens med de privatlivsprincipper, der er angivet i ISO/IEC 29100-privatlivsrammen. ISO/IEC 27018 giver cloud-udbydere mulighed for at bevise, at de ved, hvordan de beskytter deres kunders PII.
Hvis din organisation behandler PII, kan du overveje at implementere ISO 27018 sammen med et ISO 27001 ISMS. Hvis du stadig er nysgerrig efter detaljerne i, hvad der er inkluderet i rapporten, er her den fulde liste over ISO 27018's klausuler:
Download din gratis guide
at strømline din Infosec
Bemærk, at listen nedenfor er et supplement til kontroller defineret i ISO 27001.
Punkt 1: Anvendelsesområde
Punkt 2: Normative referencer
Punkt 3: Begreber og definitioner
Punkt 4: Oversigt
4.1: Dette dokuments struktur
4.2: Kontrolkategorier
Punkt 5: Informationssikkerhedspolitikker
5.1: Ledelsesretning for informationssikkerhed
Punkt 6: Organisering af informationssikkerhed
6.1: Intern organisation
6.2: Mobile enheder og fjernarbejde
Punkt 7: Sikkerhed for menneskelige ressourcer
7.1: Før ansættelse
7.2: Under ansættelse
7.3: Opsigelse og ændring af ansættelse
Punkt 8: Asset management
Punkt 9: Adgangskontrol
9.1: Forretningskrav til adgangskontrol
9.2: Administration af brugeradgang
9.3: Brugeransvar
9.4: System- og applikationsadgangskontrol
Punkt 10: Kryptografi
10.1: Kryptografiske kontroller
Punkt 11: Fysisk og miljømæssig sikkerhed
11.1: Sikre områder
11.2: Udstyr
Punkt 12: Driftssikkerhed
12.1: Operationelle procedurer og ansvar
12.2: Beskyttelse mod malware
12.3: Backup
12.4: Logning og overvågning
12.5: Kontrol af driftssoftware
12.6: Teknisk sårbarhedshåndtering
12.7: Overvejelser om revision af informationssystemer
Punkt 13: Kommunikationssikkerhed
13.1: Netværkssikkerhedsstyring
13.2: Informationsoverførsel
Punkt 14: Systemanskaffelse, udvikling og vedligeholdelse
Punkt 15: Leverandørforhold
Punkt 16: Håndtering af informationssikkerhedshændelser
16.1: Håndtering af informationssikkerhedshændelser og forbedringer
Klausul 17: Informationssikkerhedsaspekter af forretningskontinuitetsstyring
Punkt 18: Overholdelse
18.1: Overholdelse af juridiske og kontraktlige krav
18.2: Informationssikkerhedsgennemgange
Bemærk, at listen nedenfor er et supplement til kontroller defineret i ISO 27001. Bilag A Public cloud PII-processor udvidet kontrolsæt til PII-beskyttelse.
1: Generelt
2: Samtykke og valg
3: Formål legitimitet og specifikation
4: Indsamlingsbegrænsning
5: Dataminimering
6: Brug, opbevaring og begrænsning af offentliggørelse
7: Nøjagtighed og kvalitet
8: Åbenhed, gennemsigtighed og opmærksomhed
9: Individuel deltagelse og adgang
10: Ansvarlighed
11: Informationssikkerhed
12: Overholdelse af privatlivets fred
100 % af vores brugere opnår ISO 27001-certificering første gang