Forståelse af ISO 27018:2020

ISO 27018 er adfærdskodeksen for beskyttelse af personligt identificerbare oplysninger (PII) i offentlige skyer. Vi vil undersøge, hvad det betyder for både udbydere og kunder.

Hvad er ISO 27018?

ISO/IEC 27018 er den internationale standard for beskyttelse af personlige oplysninger i cloud storage. Betegnelsen for de personoplysninger, den dækker, er Personligt identificerbare oplysninger eller PII. ISO 27018 er en adfærdskodeks for offentlige cloud-tjenesteudbydere.

ISO 27018 gør to ting:

• Giver yderligere nyttig implementeringsvejledning (tilføjer ISO 27002) for kontrollerne offentliggjort i ISO / IEC 27001
• Angiver ekstra vejledning om PII-beskyttelseskrav til den offentlige sky

Disse ekstra kontroller er ikke dækket af ISO 27002.

Hvad er ISO 27018's mål?

ISO 27018 giver generisk aftalt vejledning om informationssikkerhedskategorier. Standarden er rettet mod offentlige cloud-tjenesteudbydere, der fungerer som PII-processorer.

Dens vigtigste mål er at:

• Hjælp offentligheden cloud PII-behandler opfylder deres forpligtelser, herunder når de er under kontrakt om at levere offentlige cloud-tjenester
• Aktiver gennemsigtighed, så potentielle cloudservicekunder kan få sikker adgang styret cloud-baseret PII-behandling tjenester
• Hjælp cloud-tjenester og brugere med at etablere kontraktlige aftaler for behandling af PII
• Giv cloud service-kunder en revision og compliance metodologi

Hvorfor er det vigtigt at sikre personligt identificerbare oplysninger?

Ifølge IBM Securitys 2020 Data Breach Report involverer 80 % af alle databrud PII. Sikring af PII dækker en række foranstaltninger, hvoraf nogle allerede vil være bekendt. Disse omfatter:

• Minimering af dataindsamling og opbevaring
• Vedtagelse af en sikker datadestruktionsplan
• Datakryptering til både lagring og transmission
• Begrænsning af adgang til data
• Medarbejderuddannelse
• Overholdelse af relevante regler
• Implementering af en informationsstyringsstrategi

UK's Information Commissioner's Office (ICO) giver fuld vejledning om, hvad der tæller som PII. Du kan læse den link..
En PII-behandler er enhver offentlig cloud-tjenesteudbyder, der behandler personoplysninger for deres kunder. Husk, at den oprindelige klient kan være PII-controlleren, hvilket skaber separate juridiske forpligtelser for dem. ISO/IEC 27018 dækker ikke nogen af ​​disse ekstra krav.

Hvad er personligt identificerbare oplysninger?

Kan du identificere, hvem en person er ud fra de data, de giver dig? Hvis du kan, er det personligt identificerbare oplysninger. Per definition er PII information, der kunne linke tilbage for at identificere en person. PII kan omfatte:

• En persons navn
• Deres fødselsdato
• Hvor de bor
• Deres IP-adresse
• Bank detaljer
• Medicinske journaler
• Og meget mere

Hvorfor skal du behandle PII via skyen?

Der er mange fordele ved at behandle PII gennem skyen. Brug af cloud storage til PII reducerer driftsomkostningerne sammenlignet med lagring af data på stedet. Det gør også information mere tilgængelig, når du er fjernbetjening. Men datalagring i skyen kan være risikabelt. Du skal være sikker på, at en cloud-udbyder har det bedste kontroller på plads for at holde dine oplysninger sikre. Hvis du er en cloud-udbyder, skal du vise dine kunder, at du har fremragende sikkerhedskontrol på plads.

ISO 27018 klassificerer cloud-tjenesteudbydere som databehandlere, når de behandler din organisations personlige data. Din organisation forbliver klassificeret som dataansvarlig selv når en cloud-tjenesteudbyder behandler dine data for dig. Både databehandlere og dataansvarlige har juridisk ansvar for PII-beskyttelse.

Hvad er historien om ISO/IEC 27018:2020?

ledelsesmiljøet for informationssikkerhed er under hastig udvikling. Den tekniske standard ISO/IEC 27001 omhandler ikke PII. Så ISO skabte en ny, supplerende standard i 2014, ISO 27018. Den nye standard adresserer bekymringer om virksomheder, der behandler persondata hos cloud-tjenesteudbydere. ISO/IEC 27018:2020 er den tredje version af 2014-dokumentet.

Hvad ændrede sig fra ISO/IEC 27018:2019 til 27018:2020?

ISO/IEC 27018:2020 er den seneste version af ISO 27018. Forskellene mellem ISO 27018:2019 og ISO 27018:2020 er i det væsentlige tekniske. For alle praktiske formål kan du behandle 2019- og 2020-versionerne af ISO 27018 som værende identiske.

Hvad ændrede sig fra ISO/IEC 27018:2014 til 27018:2019?

2019-versionen af ​​ISO 27018 indeholdt kun mindre revisioner fra 2014-versionen. Den nye version af ISO 27018:

• Tilføjet en generel baggrundssektion
• Definerede det som et dokument, ikke en international standard

At definere ISO 27018 som et dokument og ikke en standard er mere teknisk præcist, fordi den aftalte standard for en Information Security Management System (ISMS) er ISO 27001.

ISO har trukket ISO/IEC 27018:2014 tilbage.

Hvad er forholdet mellem ISO 27018 og andre standarder?

ISO 27018 er en af ​​ISO 27000-familien af ​​styringsstandarder for informationssikkerhed. ISO 27000-standarderne giver en internationalt anerkendt infosec-ramme.

Hvordan hænger ISO 27018 sammen med ISO 27001?

ISO 27001 opstiller de tekniske krav til etablering af et ISMS. Overholdelse af ISO 27001 er den grundlæggende standard for datasikkerhed. ISO 27018 tilføjer vejledning om cloud-tjenestedatabeskyttelse til ISO 27001.

I stedet for at vælge mellem ISO 27001 eller 27018, så tænk på at implementere dem sammen. ISO 27001 er den bedste ramme for at skabe et ISMS, der fokuserer på risikostyring. ISO 27018 tilføjer vejledning til at opnå robust sikkerhed i skyen.

Hvordan hænger ISO 27018 sammen med ISO 27701?

ISO 27701 dækker håndtering af privatlivsoplysninger, der opstiller krav og vejledning til implementering af et privatlivsinformationsstyringssystem (PIMS). Standarden giver også vejledning til PII-controllere og -processorer, herunder implementeringsrådgivning afhængigt af:

• Din placering
• Enhver national lovgivning eller forskrifter

ISO 27701 er knyttet til ISO 27018 og EU's GDPR-lovgivning. Det er en udvidelse af ISO 27001, den grundlæggende standard for datasikkerhed.

Hvordan relaterer ISO 27018 til GDPR?

Hvis din organisation arbejder i EU, skal du overholde og bør være opmærksom på GDPR (General Data Protection Regulation). Det er en EU-lov (og Storbritannien, post-Brexit), der regulerer behandlingen af ​​personoplysninger. GDPR gælder ikke kun for EU-lande. Loven gælder også for enhver organisation, der leverer varer eller tjenesteydelser til EU.

GDPR og ISO 27018 har lidt forskellige funktioner. GDPR opstiller regler om databeskyttelse og databeskyttelse. ISO 27018 giver dig en praktisk ramme til at håndtere databeskyttelses- og informationssikkerhedsrisici. Implementering af ISO 27001, sammen med 27018, giver dig et solidt grundlag for overholdelse af GDPR.

Hvilke andre retningslinjer supplerer ISO 27018?

ISO 27018 linker til ISO/IEC 29100. ISO 29100 giver:

• Privatlivsprincipper for det offentlige cloudmiljø
• En generel ramme for beskyttelse af PII i et IKT-system

ISO 29100 links til ISO 27018 af:

• Hjælper dig med at definere PII-privatlivskrav
• Forklaring af de forskellige roller i behandlingen af ​​PII

ISO 29100 etablerer også vigtige privatlivsprincipper og terminologi.

Hvad er fordelene ved ISO 27018?

Cybersikkerhed er et massivt problem for virksomhedernes tillid. I dagens globale markedsplads har beskyttelse af kundedata aldrig været mere kritisk. ISO 27018 skaber en robust global overholdelsesramme.

ISO 27018 er særligt nyttigt for cloud-serviceklienter. Det understøtter revision for overholdelse af interne ansvarsområder. Dette er især nyttigt, når databehandleren er en tredjeparts cloud-udbyder.

Andre fordele ved ISO 27018 er, at det:

• Reducerer risikoen for databrud i skyen og relaterede reguleringsbøder
• Indgyder tillid i din organisation
  • Kunder og kunder vil vide, at du er beskytte deres personlige data.
• Beskytter dit brands omdømme

Hvem kan implementere ISO 27018?

Denne standard er relevant for mange typer af organisationer. Uanset om du er:

• privat, offentlig eller non-profit sektor
• en stor, mellem eller lille virksomhed

hvis du behandle PII-data via cloud computing er ISO 27018 noget for dig.

Hvis du udliciterer PII til en anden virksomhed, vil due diligence vise, om de arbejder med ISO/IEC 27018. Enhver tjenesteudbyder, der bruger skyen eller PII, bør overveje ISO 27018.

De fleste kendte cloud-tjenesteudbydere er udvikler eller har udviklet sikkerhed foranstaltninger til beskyttelse af PII. Større industriaktører, der allerede har ISO/IEC 27018-kompatible politikker omfatter:

• Amazon Web Services
• Dropbox
• Google Apps for Work
• IBM Softlayer
• Microsoft Azure

Hvordan kommer jeg i gang med ISO 27018?

Der er tre områder, du bør se på, når du overvejer at implementere ISO 27018:

• Find ud af, hvilke eksisterende regler der gælder juridisk for din organisation
• Glem ikke at medtage krav, der gælder for din specifikke branche
• Se, om implementering af ISO 27018 kan give anledning til yderligere organisatoriske risici
• Forstå, hvordan vedtagelsen af ​​ISO 27018 kan ændre din virksomheds kultur/politikker

Bemærk, at disse områder også er dækket af ISO 27001. ISO 27018 fokuserer dybere på PII og cloud computing-tjenester.

Hvad er god ISO 27018-praksis?

Når du vedtager ISO 27018, er det god praksis at starte med at forstå dit udgangspunkt. Det er vigtigt at bygge videre på det, der allerede er på plads. Du skal også identificere eventuelle huller, der kan øge risikoen for et databrud i skyen. En streng selvevalueringsproces vil nå disse mål.

Når du har etableret dit udgangspunkt, skal du investere i intern kommunikation. Giv dine kolleger besked om eventuelle planlagte ændringer og involver dem i diskussioner om, hvorfor de er nødvendige. Det vil hjælpe dig:

• Skab ejerskab af arbejdsstyrken
• Fremme vedtagelse af databeskyttelseskontroller og ISO 27018-foranstaltninger

Kan du blive certificeret til ISO 27018?

ISO 27018 en adfærdskodeks, ikke en standard. ISO 27018-certificering er generelt inkluderet i ISO 27001-revisionsprocessen, hvis den er inkluderet som en tilføjelse til ISMS.

For at opnå certificering til en ISO-standard vil en kompetent revisor udføre en audit. Revisor vil kontrollere, om organisationen opfylder ISO-kriterierne, eller om der er huller. Dette er kendt som en fase 1-revision.

Efter revisionen vil organisationen have tid til at løse eventuelle huller i:

• Processer
• Procedurer
• Implementering

Efter nogle uger vender revisor tilbage til trin 2-revisionen. Dette er en meget længere og mere dybdegående audit end fase 1. Din fase 2 audit vil sikre, at ISMS'et rent faktisk fungerer som designet og implementeret.

Tildelingen af ​​ISO-certificering følger dette besøg, forudsat at ISMS opfylder alle kriterier. Revisoren vil besøge organisationen periodisk (normalt årligt) for at bekræfte din fortsatte overholdelse. For at bevare din ISO-certificerede status skal du bestå dine årlige vedligeholdelsesrevisioner.

Hvad er kravene i ISO/IEC 27018:2020?

ISO/IEC 27018 udvider vejledningen til implementering af sikkerhedskontroller i ISO/IEC 27002. Disse kontroller opdeler ansvaret for databeskyttelse i:

• Din ansvar som cloud service kunde og data controller, selvom du outsourcer datalagring.
• Din cloud-tjenesteudbyders ansvar som databehandler

De udvidede sikkerhedskontroller omfatter:

• Krav til PII-kryptering under lagring og transmission
• En sikker sletningsplan for enhver PII, der ikke længere er påkrævet
• En cloud-serviceaftale, der definerer, hvorfor PII-behandling finder sted
• Robuste forsikringer fra cloud-tjenesteudbydere om informationsstyring

Du skal også bruge et ekstra sæt sikkerhedskontroller. Disse stemmer overens med de privatlivsprincipper, der er angivet i ISO/IEC 29100-privatlivsrammen. ISO/IEC 27018 giver cloud-udbydere mulighed for at bevise, at de ved, hvordan de beskytter deres kunders PII.

Hvis din organisation behandler PII, kan du overveje at implementere ISO 27018 sammen med et ISO 27001 ISMS. Hvis du stadig er nysgerrig efter detaljerne i, hvad der er inkluderet i rapporten, er her den fulde liste over ISO 27018's klausuler: