Forstå ISO 27018:2020

ISO 27018 er anbefalingen for beskyttelse av personlig identifiserbar informasjon (PII) i offentlige skyer. Vi skal utforske hva det betyr for både leverandører og kunder.

Hva er ISO 27018?

ISO/IEC 27018 er den internasjonale standarden for beskyttelse av personlig informasjon i skylagring. Begrepet for personopplysningene det dekker er Personlig identifiserbar informasjon eller PII. ISO 27018 er en anbefaling for offentlige skytjenesteleverandører.

ISO 27018 gjør to ting:

• Gir ytterligere nyttig implementeringsveiledning (legger til ISO 27002) for kontrollene publisert i ISO / IEC 27001
• Angir ekstra veiledning om PII-beskyttelseskrav for den offentlige skyen

Disse ekstra kontrollene er ikke dekket i ISO 27002.

Hva er målene til ISO 27018?

ISO 27018 gir generisk avtalt veiledning om informasjonssikkerhetskategorier. Standarden retter seg mot offentlige skytjenesteleverandører som fungerer som PII-prosessorer.

Hovedmålene er å:

• Hjelp publikum cloud PII-prosessor oppfyller sine forpliktelser, inkludert når de er under kontrakt om å tilby offentlige skytjenester
• Aktiver åpenhet, slik at potensielle skytjenestekunder har sikker tilgang administrert skybasert PII-behandling tjenester
• Hjelp skytjenester og brukere med å etablere kontraktsmessige avtaler for behandling av PII
• Gi skytjenestekunder en revisjon og etterlevelse metodikk

Hvorfor er det viktig å sikre personlig identifiserbar informasjon?

I følge IBM Securitys 2020 Data Breach Report involverer 80 % av alle datainnbrudd PII. Sikring av PII dekker en rekke tiltak, noen av dem vil du allerede være kjent med. Disse inkluderer:

• Minimere datainnsamling og oppbevaring
• Vedta en sikker datadestruksjonsplan
• Datakryptering for både lagring og overføring
• Begrense tilgangen til data
• Ansattes opplæring
• Overholdelse av relevante forskrifter
• Implementere en strategi for informasjonsstyring

Storbritannias Information Commissioner's Office (ICO) gir full veiledning om hva som teller som PII. Du kan lese den her..
En PII-behandler er enhver offentlig skytjenesteleverandør som behandler personopplysninger for sine kunder. Husk at den opprinnelige klienten kan være PII-kontrolløren, og skaper separate juridiske forpliktelser for dem. ISO/IEC 27018 dekker ikke noen av disse ekstra kravene.

Hva er personlig identifiserbar informasjon?

Kan du identifisere hvem noen er ut fra dataene de gir deg? Hvis du kan, er det personlig identifiserbar informasjon. Per definisjon er PII informasjon som kan kobles tilbake for å identifisere en person. PII kan omfatte:

• En persons navn
• Fødselsdatoen deres
• Hvor de bor
• IP-adressen deres
• Bankdetaljer
• Medisinske journaler
• Og mye mer

Hvorfor bør du behandle PII via skyen?

Det er mange fordeler med å behandle PII gjennom skyen. Å bruke skylagring for PII reduserer driftskostnadene sammenlignet med lagring av data på stedet. Det gjør også informasjon mer tilgjengelig når du er fjernarbeid. Men lagring av skydata kan være risikabelt. Du må være trygg på at en skyleverandør har det beste kontroller på plass for å holde informasjonen din sikker. Hvis du er en skyleverandør, må du vise kundene dine at du har utmerkede sikkerhetskontroller på plass.

ISO 27018 klassifiserer skytjenesteleverandører som prosessorer når de behandler organisasjonens personopplysninger. Organisasjonen din forblir klassifisert som behandlingsansvarlig selv når en skytjenesteleverandør behandler dataene dine for deg. Både databehandlere og behandlingsansvarlige har juridisk ansvar for PII-beskyttelse.

Hva er historien til ISO/IEC 27018:2020?

De styringsmiljøet for informasjonssikkerhet er i rask utvikling. Den tekniske standarden ISO/IEC 27001 adresserer ikke PII. Så ISO opprettet en ny, gratis standard i 2014, ISO 27018. Den nye standarden tar for seg bekymringer rundt selskaper som behandler personopplysninger i skytjenesteleverandører. ISO/IEC 27018:2020 er den tredje versjonen av 2014-dokumentet.

Hva endret seg fra ISO/IEC 27018:2019 til 27018:2020?

ISO/IEC 27018:2020 er den nyeste versjonen av ISO 27018. Forskjellene mellom ISO 27018:2019 og ISO 27018:2020 er i hovedsak tekniske. For alle praktiske formål kan du behandle 2019- og 2020-versjonene av ISO 27018 som identiske.

Hva endret seg fra ISO/IEC 27018:2014 til 27018:2019?

2019-versjonen av ISO 27018 inneholdt bare mindre revisjoner fra 2014-versjonen. Den nye versjonen av ISO 27018:

• Lagt til en generell bakgrunnsseksjon
• Definerte det som et dokument ikke en internasjonal standard

Å definere ISO 27018 som et dokument ikke en standard er mer teknisk nøyaktig, fordi den avtalte standarden for en Informasjonssikkerhetsstyringssystem (ISMS) er ISO 27001.

ISO har trukket tilbake ISO/IEC 27018:2014.

Hva er forholdet mellom ISO 27018 og andre standarder?

ISO 27018 er en av ISO 27000-familien av styringsstandarder for informasjonssikkerhet. ISO 27000-standardene gir et internasjonalt anerkjent infosec-rammeverk.

Hvordan forholder ISO 27018 seg til ISO 27001?

ISO 27001 angir de tekniske kravene for å etablere et ISMS. Overholdelse av ISO 27001 er den grunnleggende standarden for datasikkerhet. ISO 27018 legger til veiledning om databeskyttelse av skytjenester til ISO 27001.

I stedet for å velge mellom ISO 27001 eller 27018, tenk på å implementere dem sammen. ISO 27001 er det beste rammeverket for å lage et ISMS som fokuserer på risikostyring. ISO 27018 legger til veiledning for å oppnå robust sikkerhet i skyen.

Hvordan forholder ISO 27018 seg til ISO 27701?

ISO 27701 dekker håndtering av personverninformasjon, som fastsetter krav og veiledning for implementering av et styringssystem for personverninformasjon (PIMS). Standarden gir også veiledning for PII-kontrollere og prosessorer, inkludert implementeringsråd avhengig av:

• Posisjonen din
• Eventuell nasjonal lovgivning eller forskrifter

ISO 27701 tilordner ISO 27018 og EUs GDPR-lovgivning. Det er en utvidelse av ISO 27001, den grunnleggende standarden for datasikkerhet.

Hvordan forholder ISO 27018 seg til GDPR?

Hvis organisasjonen din jobber i EU, må du overholde og bør være klar over GDPR (generell databeskyttelsesforordning). Det er en EU-lov (og Storbritannia, post-Brexit) som styrer behandlingen av personopplysninger. GDPR gjelder ikke bare for EU-land. Loven gjelder også for enhver organisasjon som leverer varer eller tjenester til EU.

GDPR og ISO 27018 har litt forskjellige funksjoner. GDPR fastsetter forskrifter for personvern og databeskyttelse. ISO 27018 gir deg et praktisk rammeverk for å håndtere databeskyttelse og informasjonssikkerhetsrisikoer. Implementering av ISO 27001, sammen med 27018, gir deg et solid grunnlag for etterlevelse av GDPR.

Hvilke andre retningslinjer utfyller ISO 27018?

ISO 27018 lenker til ISO/IEC 29100. ISO 29100 gir:

• Personvernprinsipper for det offentlige skymiljøet
• Et generelt rammeverk for å beskytte PII i et IKT-system

ISO 29100 lenker til ISO 27018 av:

• Hjelper deg med å definere PII-personvernkrav
• Forklare de ulike rollene i behandlingen av PII

ISO 29100 etablerer også viktige personvernprinsipper og terminologi.

Hva er fordelene med ISO 27018?

Cybersikkerhet er et stort problem for forretningstilliten. I dagens globale marked har beskyttelse av kundedata aldri vært mer kritisk. ISO 27018 skaper et robust globalt samsvarsrammeverk.

ISO 27018 er spesielt nyttig for skytjenesteklienter. Den støtter revisjon for overholdelse av internt ansvar. Dette er spesielt nyttig når databehandleren er en tredjeparts skyleverandør.

Andre fordeler med ISO 27018 er at det:

• Reduserer risikoen for datainnbrudd i skyen og relaterte regulatoriske bøter
• Inspirerer tillit til organisasjonen din
  • Kunder og kunder vil vite at du er det beskytte sine personlige data.
• Beskytter merkevarens omdømme

Hvem kan implementere ISO 27018?

Denne standarden er relevant for mange typer organisasjoner. Enten du er:

• privat, offentlig eller non-profit sektor
• et stort, mellomstort eller lite selskap

hvis du behandle PII-data via cloud computing er ISO 27018 noe for deg.

Hvis du kontrakter ut PII til et annet selskap, vil due diligence vise om de jobber med ISO/IEC 27018. Enhver tjenesteleverandør som bruker skyen eller PII bør vurdere ISO 27018.

De fleste kjente skytjenesteleverandører er utvikler eller har utviklet sikkerhet tiltak for å beskytte PII. Store bransjeaktører som allerede har ISO/IEC 27018-kompatible retningslinjer inkluderer:

• Amazon Web Services
• dropbox
• Google Apps for Work
• IBM Softlayer
• Microsoft Azure

Hvordan kommer jeg i gang med ISO 27018?

Det er tre områder du bør se på når du tenker på å implementere ISO 27018:

• Finn ut hvilke eksisterende regler som gjelder juridisk for din organisasjon
• Ikke glem å inkludere krav som gjelder din spesifikke bransje
• Se om implementering av ISO 27018 kan gi opphav til ytterligere organisatoriske risikoer
• Forstå hvordan å ta i bruk ISO 27018 kan endre bedriftens kultur/policyer

Merk at disse områdene også dekkes av ISO 27001. ISO 27018 fokuserer dypere på PII og cloud computing-tjenester.

Hva er god ISO 27018-praksis?

Når du tar i bruk ISO 27018, er det god praksis å begynne med å forstå utgangspunktet ditt. Det er viktig å bygge videre på det som allerede er på plass. Du må også identifisere eventuelle hull som kan øke risikoen for et datainnbrudd i skyen. En streng selvevalueringsprosess vil nå disse målene.

Når du har etablert ditt utgangspunkt, invester i intern kommunikasjon. Gi kollegene dine beskjed om eventuelle planlagte endringer og involver dem i diskusjoner om hvorfor de er nødvendige. Det vil hjelpe deg:

• Skap eierskap til arbeidsstyrken
• Drive innføring av databeskyttelseskontroller og ISO 27018-tiltak

Kan du få sertifisering for ISO 27018?

ISO 27018 en anbefaling, ikke en standard. ISO 27018-sertifisering er vanligvis inkludert i ISO 27001-revisjonsprosessen, hvis den er inkludert som et tillegg til ISMS.

For å få sertifisering for en ISO-standard vil en kompetent revisor gjennomføre en revisjon. Revisor vil sjekke om organisasjonen oppfyller ISO-kriteriene eller om det er noen hull. Dette er kjent som en fase 1-revisjon.

Etter tilsynet vil organisasjonen ha tid til å løse eventuelle hull i:

• prosesser
• prosedyrer
• Gjennomføring

Etter noen uker kommer revisor tilbake for trinn 2-revisjonen. Dette er en mye lengre og mer dyptgående revisjon enn fase 1. Din fase 2-revisjon vil sikre at ISMS faktisk fungerer som designet og implementert.

Tildelingen av ISO-sertifisering følger dette besøket forutsatt at ISMS oppfyller alle kriterier. Revisor vil besøke organisasjonen med jevne mellomrom (vanligvis årlig) for å bekrefte at du fortsetter å overholde. For å opprettholde din ISO-sertifiserte status må du bestå dine årlige vedlikeholdsrevisjoner.

Hva er kravene i ISO/IEC 27018:2020?

ISO/IEC 27018 utvider veiledningen for implementering av sikkerhetskontroller i ISO/IEC 27002. Disse kontrollene deler ansvaret for databeskyttelse inn i:

• Din ansvar som skytjenestekunde og data kontroller, selv om du outsourcer datalagring.
• Din skytjenesteleverandørs ansvar som databehandler

De utvidede sikkerhetskontrollene inkluderer:

• Krav til PII-kryptering under lagring og overføring
• En sikker slettingsplan for alle PII som ikke lenger kreves
• En skytjenesteavtale som definerer hvorfor PII-behandling finner sted
• Robuste forsikringer fra skytjenesteleverandører for informasjonsstyring

Du trenger også et ekstra sett med sikkerhetskontroller. Disse stemmer overens med personvernprinsippene fastsatt i ISO/IEC 29100 personvernrammeverket. ISO/IEC 27018 lar skyleverandører bevise at de vet hvordan de skal beskytte sine kunders PII.

Hvis organisasjonen din behandler PII, bør du vurdere å implementere ISO 27018 sammen med et ISO 27001 ISMS. Hvis du fortsatt er nysgjerrig på hva som er inkludert i rapporten, her er hele listen over ISO 27018-klausulene: