ISO 27018:2020 verstehen

ISO 27018 ist der Verhaltenskodex für den Schutz personenbezogener Daten (PII) in öffentlichen Clouds. Wir werden untersuchen, was es sowohl für Anbieter als auch für Kunden bedeutet.

Was ist ISO 27018?

ISO/IEC 27018 ist der internationale Standard zum Schutz personenbezogener Daten im Cloud-Speicher. Der Begriff für die darin erfassten personenbezogenen Daten lautet Personenbezogenen Daten oder PII. ISO 27018 ist ein Verhaltenskodex für Anbieter öffentlicher Cloud-Dienste.

ISO 27018 bewirkt zwei Dinge:

• Bietet weitere hilfreiche Implementierungshinweise (ergänzend zu ISO 27002 ) für die in veröffentlichten Steuerelemente ISO / IEC 27001
• Enthält zusätzliche Leitlinien zu PII-Schutzanforderungen für die öffentliche Cloud

Diese zusätzlichen Kontrollen werden in ISO 27002 nicht behandelt.

Was sind die Ziele der ISO 27018?

ISO 27018 bietet allgemeine, vereinbarte Leitlinien zu Informationssicherheitskategorien. Der Standard richtet sich an Anbieter öffentlicher Cloud-Dienste, die als PII-Verarbeiter fungieren.

Seine Hauptziele sind:

• Helfen Sie der Öffentlichkeit Cloud-PII-Verarbeiter kommen ihren Verpflichtungen nach, auch wenn sie einen Vertrag zur Bereitstellung öffentlicher Cloud-Dienste haben
• Sorgen Sie für Transparenz, damit potenzielle Cloud-Service-Kunden sicher darauf zugreifen können verwaltete cloudbasierte PII-Verarbeitung DIENSTLEISTUNGEN
• Helfen Sie Cloud-Diensten und Benutzern dabei, vertragliche Vereinbarungen für die Verarbeitung personenbezogener Daten zu treffen
• Geben Sie Cloud-Service-Kunden eine Audit und Compliance Methodik

Warum ist der Schutz personenbezogener Daten wichtig?

Laut dem Data Breach Report 2020 von IBM Security betreffen 80 % aller Datenschutzverletzungen personenbezogene Daten. Der Schutz personenbezogener Daten umfasst eine Reihe von Maßnahmen, von denen Sie einige bereits kennen. Diese beinhalten:

• Minimierung der Datenerfassung und -speicherung
• Einführung eines Zeitplans für die sichere Datenvernichtung
• Datenverschlüsselung sowohl für die Speicherung als auch für die Übertragung
• Beschränkung des Zugriffs auf Daten
• Angestellten Training
• Einhaltung relevanter Vorschriften
• Implementierung einer Information-Governance-Strategie

Das Information Commissioner's Office (ICO) des Vereinigten Königreichs gibt ausführliche Hinweise dazu, was als personenbezogene Daten gilt. Du kannst es lesen hier.
Ein PII-Verarbeiter ist jeder öffentliche Cloud-Dienstanbieter, der personenbezogene Daten verarbeitet für ihre Kunden. Bedenken Sie, dass der ursprüngliche Kunde möglicherweise der PII-Verantwortliche ist, wodurch für ihn gesonderte rechtliche Verpflichtungen entstehen. ISO/IEC 27018 deckt keine dieser zusätzlichen Anforderungen ab.

Was sind personenbezogene Daten?

Können Sie anhand der Daten, die sie Ihnen geben, erkennen, wer jemand ist? Wenn Sie können, handelt es sich dabei um personenbezogene Daten. PII sind per Definition Informationen, die einen Rückschluss auf die Identifizierung einer Person ermöglichen könnten. PII können Folgendes umfassen:

• Der Name einer Person
• Ihr Geburtsdatum
• Wo leben sie
• Ihre IP-Adresse
• Bankverbindung
• Krankenakten
• Und vieles mehr

Warum sollten Sie personenbezogene Daten über die Cloud verarbeiten?

Die Verarbeitung personenbezogener Daten über die Cloud bietet viele Vorteile. Die Verwendung von Cloud-Speicher für personenbezogene Daten senkt die Betriebskosten im Vergleich zur Datenspeicherung vor Ort. Es erleichtert auch den Zugriff auf Informationen, wenn Sie unterwegs sind Fernarbeit. Doch die Datenspeicherung in der Cloud kann riskant sein. Sie müssen darauf vertrauen können, dass ein Cloud-Anbieter das Beste hat Es sind Kontrollen vorhanden, um die Sicherheit Ihrer Daten zu gewährleisten. Wenn Sie ein Cloud-Anbieter sind, müssen Sie Ihren Kunden zeigen, dass Sie über ausgezeichnete Sicherheitskontrollen verfügen.

ISO 27018 klassifiziert Cloud-Service-Anbieter als Auftragsverarbeiter, wenn sie personenbezogene Daten Ihrer Organisation verarbeiten. Ihre Organisation bleibt als die klassifiziert Datencontroller selbst wenn ein Cloud-Dienstleister Ihre Daten für Sie verarbeitet. Sowohl Auftragsverarbeiter als auch Datenverantwortliche haben rechtliche Verantwortung für den Schutz personenbezogener Daten.

Was ist die Geschichte von ISO/IEC 27018:2020?

Das Die Umgebung für das Informationssicherheitsmanagement entwickelt sich rasant weiter. Der technische Standard ISO/IEC 27001 befasst sich nicht mit personenbezogenen Daten. Deshalb hat die ISO 2014 einen neuen, ergänzenden Standard geschaffen, ISO 27018. Der neue Standard geht auf Bedenken hinsichtlich der Verarbeitung personenbezogener Daten durch Unternehmen bei Cloud-Dienstanbietern ein. ISO/IEC 27018:2020 ist die dritte Version des Dokuments von 2014.

Was hat sich von ISO/IEC 27018:2019 zu 27018:2020 geändert?

ISO/IEC 27018:2020 ist die neueste Version von ISO 27018. Die Unterschiede zwischen ISO 27018:2019 und ISO 27018:2020 sind im Wesentlichen technischer Natur. Aus praktischen Gründen können Sie die Versionen 2019 und 2020 von ISO 27018 als identisch betrachten.

Was hat sich von ISO/IEC 27018:2014 zu 27018:2019 geändert?

Die Version 2019 von ISO 27018 enthielt nur geringfügige Änderungen gegenüber der Version 2014. Die neue Version von ISO 27018:

• Ein allgemeiner Hintergrundabschnitt wurde hinzugefügt
• Definierte es als Dokument und nicht als internationalen Standard

Die Definition von ISO 27018 als Dokument und nicht als Standard ist technisch genauer, da der vereinbarte Standard für einen Informationssicherheits-Managementsystem (ISMS) ist ISO 27001.

ISO hat ISO/IEC 27018:2014 zurückgezogen.

Welche Beziehung besteht zwischen ISO 27018 und anderen Standards?

ISO 27018 gehört zur ISO 27000-Familie von Informationssicherheitsmanagementstandards. Die ISO 27000-Standards bieten ein international anerkanntes Infosec-Framework.

In welcher Beziehung steht ISO 27018 zu ISO 27001?

ISO 27001 legt die technischen Anforderungen für die Einrichtung eines ISMS fest. Die Einhaltung von ISO 27001 ist der Grundstandard für Datensicherheit. ISO 27018 ergänzt ISO 27001 um Leitlinien zum Datenschutz bei Cloud-Diensten.

Anstatt zwischen ISO 27001 oder 27018 zu wählen, denken Sie darüber nach, beide gemeinsam zu implementieren. ISO 27001 ist der beste Rahmen für die Erstellung eines ISMS, das sich auf das Risikomanagement konzentriert. ISO 27018 bietet Leitlinien zum Erreichen robuster Sicherheit in der Cloud.

In welcher Beziehung steht ISO 27018 zu ISO 27701?

ISO 27701 befasst sich mit der Verwaltung von Datenschutzinformationen, in dem Anforderungen und Leitlinien für die Implementierung eines Datenschutz-Informationsmanagementsystems (PIMS) festgelegt werden. Der Standard bietet auch Leitlinien für PII-Controller und -Prozessoren, einschließlich Implementierungshinweisen in Abhängigkeit von:

• Dein Standort
• Alle nationalen Gesetze oder Vorschriften

ISO 27701 entspricht ISO 27018 und der EU-DSGVO-Gesetzgebung. Es handelt sich um eine Erweiterung von ISO 27001, dem Grundstandard für Datensicherheit.

In welcher Beziehung steht ISO 27018 zur DSGVO?

Wenn Ihre Organisation in der Europäischen Union tätig ist, müssen Sie diese einhalten und sollten sich daher darüber im Klaren sein DSGVO (Allgemeine Datenschutzverordnung). Es handelt sich um ein EU-Gesetz (und das britische Gesetz nach dem Brexit), das die Verarbeitung personenbezogener Daten regelt. Die DSGVO gilt nicht nur für EU-Länder. Das Gesetz gilt auch für jede Organisation, die Waren oder Dienstleistungen in die EU liefert.

DSGVO und ISO 27018 erfüllen leicht unterschiedliche Funktionen. Die DSGVO legt Datenschutz- und Datenschutzbestimmungen fest. ISO 27018 bietet Ihnen einen praktischen Rahmen für den Umgang mit Datenschutz- und Informationssicherheitsrisiken. Die Implementierung von ISO 27001 in Verbindung mit 27018 bietet Ihnen eine solide Grundlage für die Einhaltung der DSGVO.

Welche weiteren Richtlinien ergänzen ISO 27018?

ISO 27018 verweist auf ISO/IEC 29100. ISO 29100 bietet:

• Datenschutzgrundsätze für die öffentliche Cloud-Umgebung
• Ein allgemeiner Rahmen zum Schutz personenbezogener Daten innerhalb eines IKT-Systems

ISO 29100 verknüpft sich mit ISO 27018 durch:

• Wir helfen Ihnen bei der Definition von PII-Datenschutzanforderungen
• Erläutern der verschiedenen Rollen bei der Verarbeitung personenbezogener Daten

ISO 29100 legt außerdem wichtige Datenschutzgrundsätze und -terminologie fest.

Was sind die Vorteile von ISO 27018?

Cybersicherheit ist ein großes Problem für das Vertrauen von Unternehmen. Auf dem heutigen globalen Markt war der Schutz von Kundendaten noch nie so wichtig. ISO 27018 schafft ein robustes globales Compliance-Framework.

ISO 27018 ist besonders hilfreich für Cloud-Service-Kunden. Es unterstützt die Prüfung der Einhaltung interner Verantwortlichkeiten. Dies ist besonders hilfreich, wenn der Datenverarbeiter ein externer Cloud-Anbieter ist.

Weitere Vorteile von ISO 27018 sind:

• Reduziert das Risiko von Datenschutzverletzungen in der Cloud und damit verbundenen Bußgeldern
• Schafft Vertrauen in Ihre Organisation
  • Kunden und Kunden werden wissen, dass Sie es sind Schutz ihrer personenbezogenen Daten.
• Schützt den Ruf Ihrer Marke

Wer kann ISO 27018 umsetzen?

Dieser Standard ist für viele Arten von Organisationen relevant. Ob Sie:

• im privaten, öffentlichen oder gemeinnützigen Sektor
• ein großes, mittleres oder kleines Unternehmen

wenn du PII-Daten verarbeiten Über Cloud Computing ist ISO 27018 genau das Richtige für Sie.

Wenn Sie PII an ein anderes Unternehmen vergeben, zeigt die Due-Diligence-Prüfung, ob es mit ISO/IEC 27018 arbeitet. Jeder Dienstanbieter, der die Cloud oder PII nutzt, sollte ISO 27018 berücksichtigen.

Die meisten bekannten Cloud-Dienstanbieter sind Sicherheit entwickeln oder entwickelt haben Maßnahmen zum Schutz personenbezogener Daten. Zu den wichtigsten Branchenakteuren, die bereits über ISO/IEC 27018-konforme Richtlinien verfügen, gehören:

• Amazon Web Services
• Dropbox
• Google Apps for Work
• IBM Softlayer
• Microsoft Azure

Wie fange ich mit ISO 27018 an?

Es gibt drei Bereiche, die Sie berücksichtigen sollten, wenn Sie über die Implementierung von ISO 27018 nachdenken:

• Informieren Sie sich darüber, welche bestehenden Regelungen für Ihre Organisation rechtlich gelten
• Vergessen Sie nicht, Anforderungen anzugeben, die für Ihre spezifische Branche gelten
• Prüfen Sie, ob die Implementierung von ISO 27018 zusätzliche organisatorische Risiken mit sich bringen könnte
• Verstehen Sie, wie die Einführung von ISO 27018 Ihre Unternehmenskultur/-richtlinien verändern könnte

Beachten Sie, dass diese Bereiche auch von ISO 27001 abgedeckt werden. ISO 27018 konzentriert sich stärker auf PII und Cloud-Computing-Dienste.

Was ist eine gute ISO 27018-Praxis?

Bei der Einführung von ISO 27018 empfiehlt es sich, zunächst den Ausgangspunkt zu verstehen. Es ist wichtig, auf dem aufzubauen, was bereits vorhanden ist. Sie müssen außerdem alle Lücken identifizieren, die das Risiko einer Datenschutzverletzung in der Cloud erhöhen könnten. Ein strenger Selbstbewertungsprozess wird diese Ziele erreichen.

Sobald Sie Ihren Ausgangspunkt festgelegt haben, investieren Sie in die interne Kommunikation. Informieren Sie Ihre Kollegen über geplante Änderungen und beziehen Sie sie in Diskussionen darüber ein, warum diese erforderlich sind. Das wird Ihnen helfen:

• Schaffen Sie Eigenverantwortung für die Belegschaft
• Fördern Sie die Einführung von Datenschutzkontrollen und ISO 27018-Maßnahmen

Können Sie sich nach ISO 27018 zertifizieren lassen?

ISO 27018 ist ein Verhaltenskodex, kein Standard. Die ISO 27018-Zertifizierung ist im Allgemeinen im ISO 27001-Auditprozess enthalten, wenn sie als Ergänzung zum ISMS enthalten ist.

Um eine Zertifizierung nach einem ISO-Standard zu erhalten, führt ein kompetenter Auditor ein Audit durch. Der Auditor prüft, ob die Organisation die ISO-Kriterien erfüllt oder ob Lücken bestehen. Dies wird als Audit der Stufe 1 bezeichnet.

Nach dem Audit hat die Organisation Zeit, etwaige Lücken zu schließen in:

• Prozesse
• Verfahren
• Sytemimplementierung

Nach einigen Wochen kehrt der Auditor zum Audit der Stufe 2 zurück. Dies ist ein viel längeres und ausführlicheres Audit als Stufe 1. Ihr Stufe 2-Audit stellt sicher, dass das ISMS tatsächlich wie geplant und implementiert funktioniert.

Im Anschluss an diesen Besuch erfolgt die Verleihung der ISO-Zertifizierung, sofern das ISMS alle Kriterien erfüllt. Der Prüfer wird die Organisation regelmäßig (normalerweise jährlich) besuchen, um Ihre fortgesetzte Einhaltung zu bestätigen. Um Ihren ISO-Zertifizierungsstatus aufrechtzuerhalten, müssen Sie Ihre jährlichen Wartungsaudits bestehen.

Was sind die Anforderungen der ISO/IEC 27018:2020?

ISO/IEC 27018 erweitert die Leitlinien zur Implementierung von Sicherheitskontrollen in ISO/IEC 27002. Diese Kontrollen unterteilen die Verantwortlichkeiten für den Datenschutz in:

• Ihr Verantwortlichkeiten als Cloud-Service-Kunde und Daten Verantwortlicher, auch wenn Sie die Datenspeicherung auslagern.
• Die Verantwortlichkeiten Ihres Cloud-Dienstanbieters als Datenverarbeiter

Zu den erweiterten Sicherheitskontrollen gehören:

• PII-Verschlüsselungsanforderungen während der Speicherung und Übertragung
• Ein sicherer Löschplan für alle nicht mehr benötigten PII
• Eine Cloud-Service-Vereinbarung, die definiert, warum die PII-Verarbeitung stattfindet
• Robuste Zusicherungen von Cloud-Dienstanbietern für die Informationsverwaltung

Sie benötigen außerdem zusätzliche Sicherheitskontrollen. Diese stehen im Einklang mit den Datenschutzgrundsätzen des ISO/IEC 29100-Datenschutzrahmens. Mit ISO/IEC 27018 können Cloud-Anbieter nachweisen, dass sie wissen, wie sie die personenbezogenen Daten ihrer Kunden schützen können.

Wenn Ihre Organisation personenbezogene Daten verarbeitet, sollten Sie die Implementierung von ISO 27018 neben einem ISO 27001-ISMS in Betracht ziehen. Wenn Sie immer noch neugierig auf die Einzelheiten dessen sind, was im Bericht enthalten ist, finden Sie hier die vollständige Liste der ISO 27018-Klauseln: