ISO 27018 er anbefalingen for beskyttelse av personlig identifiserbar informasjon (PII) i offentlige skyer. Vi skal utforske hva det betyr for både leverandører og kunder.
ISO/IEC 27018 er den internasjonale standarden for beskyttelse av personlig informasjon i skylagring. Begrepet for personopplysningene det dekker er Personlig identifiserbar informasjon eller PII. ISO 27018 er en anbefaling for offentlige skytjenesteleverandører.
ISO 27018 gjør to ting:
Disse ekstra kontrollene er ikke dekket i ISO 27002.
ISO 27018 gir generisk avtalt veiledning om informasjonssikkerhetskategorier. Standarden retter seg mot offentlige skytjenesteleverandører som fungerer som PII-prosessorer.
Hovedmålene er å:
I følge IBM Securitys 2020 Data Breach Report involverer 80 % av alle datainnbrudd PII. Sikring av PII dekker en rekke tiltak, noen av dem vil du allerede være kjent med. Disse inkluderer:
Storbritannias Information Commissioner's Office (ICO) gir full veiledning om hva som teller som PII. Du kan lese den her..
En PII-behandler er enhver offentlig skytjenesteleverandør som behandler personopplysninger for sine kunder. Husk at den opprinnelige klienten kan være PII-kontrolløren, og skaper separate juridiske forpliktelser for dem. ISO/IEC 27018 dekker ikke noen av disse ekstra kravene.
ISMS.online gjør det så enkelt som mulig å sette opp og administrere ISMS.
Vi kan ikke tenke på noe selskap hvis tjeneste kan holde et lys til ISMS.online.
Kan du identifisere hvem noen er ut fra dataene de gir deg? Hvis du kan, er det personlig identifiserbar informasjon. Per definisjon er PII informasjon som kan kobles tilbake for å identifisere en person. PII kan omfatte:
Det er mange fordeler med å behandle PII gjennom skyen. Å bruke skylagring for PII reduserer driftskostnadene sammenlignet med lagring av data på stedet. Det gjør også informasjon mer tilgjengelig når du er fjernarbeid. Men lagring av skydata kan være risikabelt. Du må være trygg på at en skyleverandør har det beste kontroller på plass for å holde informasjonen din sikker. Hvis du er en skyleverandør, må du vise kundene dine at du har utmerkede sikkerhetskontroller på plass.
ISO 27018 klassifiserer skytjenesteleverandører som prosessorer når de behandler organisasjonens personopplysninger. Organisasjonen din forblir klassifisert som behandlingsansvarlig selv når en skytjenesteleverandør behandler dataene dine for deg. Både databehandlere og behandlingsansvarlige har juridisk ansvar for PII-beskyttelse.
De styringsmiljøet for informasjonssikkerhet er i rask utvikling. Den tekniske standarden ISO/IEC 27001 adresserer ikke PII. Så ISO opprettet en ny, gratis standard i 2014, ISO 27018. Den nye standarden tar for seg bekymringer rundt selskaper som behandler personopplysninger i skytjenesteleverandører. ISO/IEC 27018:2020 er den tredje versjonen av 2014-dokumentet.
ISO/IEC 27018:2020 er den nyeste versjonen av ISO 27018. Forskjellene mellom ISO 27018:2019 og ISO 27018:2020 er i hovedsak tekniske. For alle praktiske formål kan du behandle 2019- og 2020-versjonene av ISO 27018 som identiske.
2019-versjonen av ISO 27018 inneholdt bare mindre revisjoner fra 2014-versjonen. Den nye versjonen av ISO 27018:
Å definere ISO 27018 som et dokument ikke en standard er mer teknisk nøyaktig, fordi den avtalte standarden for en Informasjonssikkerhetsstyringssystem (ISMS) er ISO 27001.
ISO har trukket tilbake ISO/IEC 27018:2014.
Jeg vil absolutt anbefale ISMS.online, det gjør oppsett og administrasjon av ISMS så enkelt som det kan bli.
ISO 27018 er en av ISO 27000-familien av styringsstandarder for informasjonssikkerhet. ISO 27000-standardene gir et internasjonalt anerkjent infosec-rammeverk.
ISO 27001 angir de tekniske kravene for å etablere et ISMS. Overholdelse av ISO 27001 er den grunnleggende standarden for datasikkerhet. ISO 27018 legger til veiledning om databeskyttelse av skytjenester til ISO 27001.
I stedet for å velge mellom ISO 27001 eller 27018, tenk på å implementere dem sammen. ISO 27001 er det beste rammeverket for å lage et ISMS som fokuserer på risikostyring. ISO 27018 legger til veiledning for å oppnå robust sikkerhet i skyen.
ISO 27701 dekker håndtering av personverninformasjon, som fastsetter krav og veiledning for implementering av et styringssystem for personverninformasjon (PIMS). Standarden gir også veiledning for PII-kontrollere og prosessorer, inkludert implementeringsråd avhengig av:
ISO 27701 tilordner ISO 27018 og EUs GDPR-lovgivning. Det er en utvidelse av ISO 27001, den grunnleggende standarden for datasikkerhet.
Hvis organisasjonen din jobber i EU, må du overholde og bør være klar over GDPR (generell databeskyttelsesforordning). Det er en EU-lov (og Storbritannia, post-Brexit) som styrer behandlingen av personopplysninger. GDPR gjelder ikke bare for EU-land. Loven gjelder også for enhver organisasjon som leverer varer eller tjenester til EU.
GDPR og ISO 27018 har litt forskjellige funksjoner. GDPR fastsetter forskrifter for personvern og databeskyttelse. ISO 27018 gir deg et praktisk rammeverk for å håndtere databeskyttelse og informasjonssikkerhetsrisikoer. Implementering av ISO 27001, sammen med 27018, gir deg et solid grunnlag for etterlevelse av GDPR.
ISO 27018 lenker til ISO/IEC 29100. ISO 29100 gir:
ISO 29100 lenker til ISO 27018 av:
ISO 29100 etablerer også viktige personvernprinsipper og terminologi.
Bestill en skreddersydd praktisk økt basert på dine behov og mål.
Cybersikkerhet er et stort problem for forretningstilliten. I dagens globale marked har beskyttelse av kundedata aldri vært mer kritisk. ISO 27018 skaper et robust globalt samsvarsrammeverk.
ISO 27018 er spesielt nyttig for skytjenesteklienter. Den støtter revisjon for overholdelse av internt ansvar. Dette er spesielt nyttig når databehandleren er en tredjeparts skyleverandør.
Andre fordeler med ISO 27018 er at det:
Denne standarden er relevant for mange typer organisasjoner. Enten du er:
hvis du behandle PII-data via cloud computing er ISO 27018 noe for deg.
Hvis du kontrakter ut PII til et annet selskap, vil due diligence vise om de jobber med ISO/IEC 27018. Enhver tjenesteleverandør som bruker skyen eller PII bør vurdere ISO 27018.
De fleste kjente skytjenesteleverandører er utvikler eller har utviklet sikkerhet tiltak for å beskytte PII. Store bransjeaktører som allerede har ISO/IEC 27018-kompatible retningslinjer inkluderer:
Det er tre områder du bør se på når du tenker på å implementere ISO 27018:
Merk at disse områdene også dekkes av ISO 27001. ISO 27018 fokuserer dypere på PII og cloud computing-tjenester.
Når du tar i bruk ISO 27018, er det god praksis å begynne med å forstå utgangspunktet ditt. Det er viktig å bygge videre på det som allerede er på plass. Du må også identifisere eventuelle hull som kan øke risikoen for et datainnbrudd i skyen. En streng selvevalueringsprosess vil nå disse målene.
Når du har etablert ditt utgangspunkt, invester i intern kommunikasjon. Gi kollegene dine beskjed om eventuelle planlagte endringer og involver dem i diskusjoner om hvorfor de er nødvendige. Det vil hjelpe deg:
ISO 27018 en anbefaling, ikke en standard. ISO 27018-sertifisering er vanligvis inkludert i ISO 27001-revisjonsprosessen, hvis den er inkludert som et tillegg til ISMS.
For å få sertifisering for en ISO-standard vil en kompetent revisor gjennomføre en revisjon. Revisor vil sjekke om organisasjonen oppfyller ISO-kriteriene eller om det er noen hull. Dette er kjent som en fase 1-revisjon.
Etter tilsynet vil organisasjonen ha tid til å løse eventuelle hull i:
Etter noen uker kommer revisor tilbake for trinn 2-revisjonen. Dette er en mye lengre og mer dyptgående revisjon enn fase 1. Din fase 2-revisjon vil sikre at ISMS faktisk fungerer som designet og implementert.
Tildelingen av ISO-sertifisering følger dette besøket forutsatt at ISMS oppfyller alle kriterier. Revisor vil besøke organisasjonen med jevne mellomrom (vanligvis årlig) for å bekrefte at du fortsetter å overholde. For å opprettholde din ISO-sertifiserte status må du bestå dine årlige vedlikeholdsrevisjoner.
ISO/IEC 27018 utvider veiledningen for implementering av sikkerhetskontroller i ISO/IEC 27002. Disse kontrollene deler ansvaret for databeskyttelse inn i:
De utvidede sikkerhetskontrollene inkluderer:
Du trenger også et ekstra sett med sikkerhetskontroller. Disse stemmer overens med personvernprinsippene fastsatt i ISO/IEC 29100 personvernrammeverket. ISO/IEC 27018 lar skyleverandører bevise at de vet hvordan de skal beskytte sine kunders PII.
Hvis organisasjonen din behandler PII, bør du vurdere å implementere ISO 27018 sammen med et ISO 27001 ISMS. Hvis du fortsatt er nysgjerrig på hva som er inkludert i rapporten, her er hele listen over ISO 27018-klausulene:
Last ned din gratis guide
for å strømlinjeforme din Infosec
Merk at listen nedenfor kommer i tillegg til kontroller definert i ISO 27001.
Punkt 1: Omfang
Klausul 2: Normative referanser
Punkt 3: Begreper og definisjoner
Punkt 4: Oversikt
4.1: Strukturen til dette dokumentet
4.2: Kontrollkategorier
Klausul 5: Informasjonssikkerhetspolitikk
5.1: Ledelsesretning for informasjonssikkerhet
Punkt 6: Organisering av informasjonssikkerhet
6.1: Intern organisasjon
6.2: Mobile enheter og fjernarbeid
Klausul 7: Menneskelig ressurssikkerhet
7.1: Før ansettelse
7.2: Under ansettelse
7.3: Oppsigelse og endring av arbeidsforhold
Punkt 8: Kapitalforvaltning
Punkt 9: Adgangskontroll
9.1: Forretningskrav til tilgangskontroll
9.2: Brukertilgangsadministrasjon
9.3: Brukeransvar
9.4: System- og applikasjonstilgangskontroll
Klausul 10: Kryptografi
10.1: Kryptografiske kontroller
Punkt 11: Fysisk og miljømessig sikkerhet
11.1: Sikre områder
11.2: Utstyr
Punkt 12: Driftssikkerhet
12.1: Operasjonelle prosedyrer og ansvar
12.2: Beskyttelse mot skadelig programvare
12.3: Sikkerhetskopiering
12.4: Logging og overvåking
12.5: Kontroll av operativ programvare
12.6: Teknisk sårbarhetshåndtering
12.7: Revisjon av informasjonssystemer
Punkt 13: Kommunikasjonssikkerhet
13.1: Nettverkssikkerhetsadministrasjon
13.2: Informasjonsoverføring
Punkt 14: Systemanskaffelse, utvikling og vedlikehold
Punkt 15: Leverandørforhold
Punkt 16: Håndtering av informasjonssikkerhetshendelser
16.1: Håndtering av informasjonssikkerhetshendelser og forbedringer
Klausul 17: Informasjonssikkerhetsaspekter ved forretningskontinuitetsstyring
Klausul 18: Samsvar
18.1: Overholdelse av juridiske og kontraktsmessige krav
18.2: Informasjonssikkerhetsgjennomganger
Merk at listen nedenfor kommer i tillegg til kontroller definert i ISO 27001. Vedlegg A Public cloud PII-prosessor utvidet kontrollsett for PII-beskyttelse.
1: Generelt
2: Samtykke og valg
3: Formål legitimitet og spesifikasjon
4: Innsamlingsbegrensning
5: Dataminimering
6: Bruk, oppbevaring og avsløringsbegrensning
7: Nøyaktighet og kvalitet
8: Åpenhet, transparens og merknad
9: Individuell deltakelse og tilgang
10: Ansvarlighet
11: Informasjonssikkerhet
12: Overholdelse av personvern
100 % av brukerne våre oppnår ISO 27001-sertifisering første gang