ISO 27018 is die praktykkode vir die beskerming van persoonlik identifiseerbare inligting (PII) in openbare wolke. Ons gaan ondersoek instel na wat dit vir beide verskaffers en kliënte beteken.
ISO/IEC 27018 is die internasionale standaard vir die beskerming van persoonlike inligting in wolkberging. Die term vir die persoonlike data wat dit dek is Persoonlike inligting of PII. ISO 27018 is 'n praktykkode vir openbare wolkdiensverskaffers.
ISO 27018 doen twee dinge:
Hierdie ekstra kontroles word nie in ISO 27002 gedek nie.
ISO 27018 gee generiese ooreengekome leiding oor inligtingsekuriteitskategorieë. Die standaard teiken publieke wolkdiensverskaffers wat as PII-verwerkers optree.
Die belangrikste doelwitte daarvan is om:
Volgens IBM Security se 2020 Data Breach Report, behels 80% van alle data-oortredings PII. Die beveiliging van PII dek 'n reeks maatreëls, waarvan jy reeds vertroud sal wees. Dit sluit in:
Die UK se Inligtingskommissaris se kantoor (ICO) gee volledige leiding oor wat as PII tel. Jy kan dit lees na hierdie skakel.
'n PII-verwerker is enige openbare wolkdiensverskaffer wat persoonlike data verwerk vir hul kliënte. Onthou dat die oorspronklike kliënt die PII-kontroleerder kan wees, wat afsonderlike wetlike verpligtinge vir hulle skep. ISO/IEC 27018 dek nie enige van hierdie ekstra vereistes nie.
ISMS.online maak die opstel en bestuur van jou ISMS so maklik as wat dit kan kry.
Ons kan nie aan enige maatskappy dink wie se diens by ISMS.online kan kers vashou nie.
Kan jy identifiseer wie iemand is uit die data wat hulle jou gee? As jy kan, is dit persoonlik identifiseerbare inligting. Per definisie is PII inligting wat kan terugskakel om 'n individu te identifiseer. PII kan die volgende insluit:
Daar is baie voordele verbonde aan die verwerking van PII deur die wolk. Die gebruik van wolkberging vir PII verminder bedryfskoste in vergelyking met die stoor van data op die perseel. Dit maak ook inligting meer toeganklik wanneer jy is afstand werk. Maar wolkdataberging kan riskant wees. U moet vol vertroue wees dat 'n wolkverskaffer die beste het kontroles in plek om jou inligting veilig te hou. As jy 'n wolkverskaffer is, sal jy jou kliënte moet wys dat jy uitstekende sekuriteitskontroles in plek het.
ISO 27018 klassifiseer wolkdiensverskaffers as verwerkers wanneer hulle jou organisasie se persoonlike data verwerk. Jou organisasie bly geklassifiseer as die data kontroleerder selfs wanneer 'n wolkdiensverskaffer jou data vir jou verwerk. Beide verwerkers en databeheerders het wetlike verantwoordelikhede vir PII-beskerming.
Die inligtingsekuriteitbestuursomgewing is vinnig besig om te ontwikkel. Die tegniese standaard ISO/IEC 27001 spreek nie PII aan nie. ISO het dus 'n nuwe, komplimentêre standaard in 2014 geskep, ISO 27018. Die nuwe standaard spreek kommer aan oor maatskappye wat persoonlike data in wolkdiensverskaffers verwerk. ISO/IEC 27018:2020 is die derde weergawe van die 2014-dokument.
ISO/IEC 27018:2020 is die nuutste weergawe van ISO 27018. Die verskille tussen ISO 27018:2019 en ISO 27018:2020 is in wese tegnies. Vir alle praktiese doeleindes kan jy die 2019- en 2020-weergawes van ISO 27018 as identies hanteer.
Die 2019-weergawe van ISO 27018 het slegs geringe hersienings van die 2014-weergawe bevat. Die nuwe weergawe van ISO 27018:
Om ISO 27018 te definieer as 'n dokument, nie 'n standaard nie, is tegnies meer akkuraat, omdat die ooreengekome standaard vir 'n Inligtingsekuriteitbestuurstelsel (ISMS) is ISO 27001.
ISO het ISO/IEC 27018:2014 onttrek.
Ek sal beslis ISMS.online aanbeveel, dit maak die opstel en bestuur van jou ISMS so maklik as wat dit kan kry.
ISO 27018 is een van die ISO 27000-familie van inligtingsekuriteitbestuurstandaarde. Die ISO 27000-standaarde bied 'n internasionaal erkende infosec-raamwerk.
ISO 27001 stel die tegniese vereistes vir die vestiging van 'n ISMS uiteen. Voldoening aan ISO 27001 is die grondslagstandaard vir datasekuriteit. ISO 27018 voeg leiding oor wolkdiensdatabeskerming by ISO 27001.
Eerder as om tussen ISO 27001 of 27018 te kies, dink daaraan om dit saam te implementeer. ISO 27001 is die beste raamwerk vir die skep van 'n ISMS wat op risikobestuur fokus. ISO 27018 voeg leiding by vir die bereiking van robuuste sekuriteit in die wolk.
ISO 27701 dek privaatheidsinligtingbestuur, wat vereistes en leiding uiteensit vir die implementering van 'n privaatheidsinligtingbestuurstelsel (PIMS). Die standaard gee ook leiding vir PII-beheerders en verwerkers, insluitend implementeringsadvies afhangende van:
ISO 27701 is gekoppel aan ISO 27018 en die EU GDPR-wetgewing. Dit is 'n uitbreiding van ISO 27001, die grondslagstandaard vir datasekuriteit.
As jou organisasie in die Europese Unie werk, moet jy voldoen aan en so moet jy bewus wees van GDPR (Algemene Databeskermingsregulasie). Dit is 'n EU-wet (en die Verenigde Koninkryk, post-Brexit) wat die verwerking van persoonlike data beheer. GDPR is nie net van toepassing op EU-lande nie. Die wet is ook van toepassing op enige organisasie wat goedere of dienste in die EU verskaf.
GDPR en ISO 27018 dien effens verskillende funksies. GDPR stel regulasies vir dataprivaatheid en -beskerming uiteen. ISO 27018 gee jou 'n praktiese raamwerk om databeskerming en inligtingsekuriteitsrisiko's te bestuur. Die implementering van ISO 27001, in samewerking met 27018, gee jou 'n stewige grondslag vir GDPR-nakoming.
ISO 27018 skakels na ISO/IEC 29100. ISO 29100 verskaf:
ISO 29100 skakels na ISO 27018 deur:
ISO 29100 stel ook sleutelprivaatheidbeginsels en -terminologie daar.
Bespreek 'n pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte.
Kuberveiligheid is 'n groot kwessie vir sakevertroue. In vandag se wêreldmark was die beskerming van klantdata nog nooit so krities nie. ISO 27018 skep 'n robuuste globale voldoeningsraamwerk.
ISO 27018 is veral nuttig vir wolkdienskliënte. Dit ondersteun ouditering vir nakoming van interne verantwoordelikhede. Dit is veral nuttig wanneer die dataverwerker 'n derdeparty-wolkverskaffer is.
Ander voordele van ISO 27018 is dat dit:
Hierdie standaard is relevant vir baie tipes organisasies. Of jy nou:
As jy PII-data verwerk via wolkrekenaarkunde is ISO 27018 vir jou.
As jy PII aan 'n ander maatskappy uitkontrakteer, sal noulettendheidsondersoek wys of hulle met ISO/IEC 27018 werk. Enige diensverskaffer wat die wolk of PII gebruik, moet ISO 27018 oorweeg.
Die meeste bekende wolkdiensverskaffers is sekuriteit ontwikkel of ontwikkel het maatreëls om PII te beskerm. Belangrike rolspelers in die bedryf wat reeds beleide het wat aan ISO/IEC 27018 voldoen, sluit in:
Daar is drie areas waarna u moet kyk wanneer u dink aan die implementering van ISO 27018:
Let daarop dat hierdie gebiede ook deur ISO 27001 gedek word. ISO 27018 fokus dieper op PII en wolkrekenaardienste.
Wanneer jy ISO 27018 aanneem, is dit goeie praktyk om te begin deur jou beginpunt te verstaan. Dit is belangrik om voort te bou op wat reeds in plek is. Jy sal ook enige gapings moet identifiseer wat die risiko van 'n data-oortreding in die wolk kan verhoog. 'n Streng selfevalueringsproses sal hierdie doelwitte bereik.
Sodra jy jou beginpunt vasgestel het, belê in interne kommunikasie. Gee jou kollegas kennis van enige beplande veranderinge en betrek hulle by besprekings oor hoekom dit nodig is. Dit sal jou help:
ISO 27018 'n praktykkode, nie 'n standaard nie. ISO 27018-sertifisering word gewoonlik by die ISO 27001-ouditproses ingesluit, as dit as 'n byvoeging tot die ISMS ingesluit is.
Om sertifisering vir 'n ISO-standaard te kry, sal 'n bevoegde ouditeur 'n oudit uitvoer. Die ouditeur sal kyk of die organisasie aan die ISO-kriteria voldoen of daar enige leemtes is. Dit staan bekend as 'n stadium 1 oudit.
Na die oudit sal die organisasie tyd hê om enige leemtes in:
Na 'n paar weke sal die ouditeur terugkeer vir die fase 2-oudit. Dit is 'n baie langer en meer in diepte oudit as fase 1. Jou stadium 2 oudit sal verseker dat die ISMS werklik werk soos ontwerp en geïmplementeer.
Die toekenning van ISO-sertifisering volg op hierdie besoek mits die ISMS aan alle kriteria voldoen. Die ouditeur sal die organisasie periodiek (gewoonlik jaarliks) besoek om u volgehoue voldoening te bevestig. Om jou ISO-gesertifiseerde status te behou, sal jy jou jaarlikse instandhoudingsoudits moet slaag.
ISO/IEC 27018 brei die riglyne uit vir die implementering van sekuriteitskontroles in ISO/IEC 27002. Hierdie kontroles verdeel die verantwoordelikhede vir databeskerming in:
Die uitgebreide sekuriteitskontroles sluit in:
Jy sal ook 'n ekstra stel sekuriteitskontroles nodig hê. Dit strook met die privaatheidbeginsels wat in die ISO/IEC 29100-privaatheidsraamwerk uiteengesit word. ISO/IEC 27018 laat wolkverskaffers toe om te bewys dat hulle weet hoe om hul kliënte se PII te beskerm.
As jou organisasie PII verwerk, oorweeg dit om ISO 27018 saam met 'n ISO 27001 ISMS te implementeer. As jy steeds nuuskierig is oor die besonderhede van wat in die verslag ingesluit is, hier is die volledige lys van ISO 27018 se klousules:
Laai jou gratis gids af
om jou Infosec te stroomlyn
Let daarop dat die lys hieronder bykomend tot kontroles gedefinieer in ISO 27001.
Klousule 1: Bestek
Klousule 2: Normatiewe verwysings
Klousule 3: Terme en definisies
Klousule 4: Oorsig
4.1: Struktuur van hierdie dokument
4.2: Beheerkategorieë
Klousule 5: Inligtingsekuriteitsbeleide
5.1: Bestuursrigting vir inligtingsekuriteit
Klousule 6: Organisasie van inligtingsekuriteit
6.1: Interne organisasie
6.2: Mobiele toestelle en telewerk
Klousule 7: Menslike hulpbronsekuriteit
7.1: Voor indiensneming
7.2: Tydens indiensneming
7.3: Beëindiging en verandering van diens
Klousule 8: Batebestuur
Klousule 9: Toegangsbeheer
9.1: Besigheidsvereistes van toegangsbeheer
9.2: Gebruikerstoegangbestuur
9.3: Gebruikersverantwoordelikhede
9.4: Stelsel- en toepassingtoegangsbeheer
Klousule 10: Kriptografie
10.1: Kriptografiese kontroles
Klousule 11: Fisiese en omgewingsekuriteit
11.1: Veilige gebiede
11.2: Toerusting
Klousule 12: Bedryfsekuriteit
12.1: Operasionele prosedures en verantwoordelikhede
12.2: Beskerming teen wanware
12.3: Rugsteun
12.4: Aantekening en monitering
12.5: Beheer van operasionele sagteware
12.6: Tegniese kwesbaarheidsbestuur
12.7: Inligtingstelselouditoorwegings
Klousule 13: Kommunikasie sekuriteit
13.1: Bestuur van netwerksekuriteit
13.2: Inligtingsoordrag
Klousule 14: Stelselverkryging, ontwikkeling en instandhouding
Klousule 15: Verskafferverhoudings
Klousule 16: Bestuur van inligtingsekuriteitsinsidente
16.1: Bestuur van inligtingsekuriteitvoorvalle en verbeterings
Klousule 17: Inligtingsekuriteitsaspekte van besigheidskontinuïteitsbestuur
Klousule 18: Nakoming
18.1: Voldoening aan wetlike en kontraktuele vereistes
18.2: Inligtingsekuriteitoorsigte
Let daarop dat die lys hieronder bykomend is tot kontroles wat in ISO 27001 gedefinieer is. Bylae A Publieke wolk PII-verwerker uitgebreide beheerstel vir PII-beskerming.
1: Generaal
2: Toestemming en keuse
3: Doelwettigheid en spesifikasie
4: Versamelingsbeperking
5: Data-minimalisering
6: Gebruik, behoud en openbaarmaking beperking
7: Akkuraatheid en kwaliteit
8: Openheid, deursigtigheid en kennis
9: Individuele deelname en toegang
10: Aanspreeklikheid
11: Inligtingsekuriteit
12: Nakoming van privaatheid
100% van ons gebruikers behaal die eerste keer ISO 27001-sertifisering