Förstå ISO 27018:2020

ISO 27018 är uppförandekoden för skydd av personligt identifierbar information (PII) i offentliga moln. Vi ska utforska vad det betyder för både leverantörer och kunder.

Vad är ISO 27018?

ISO/IEC 27018 är den internationella standarden för att skydda personlig information i molnlagring. Termen för de personuppgifter som den omfattar är Personligt identifierbar information eller PII. ISO 27018 är en uppförandekod för offentliga molntjänstleverantörer.

ISO 27018 gör två saker:

• Ger ytterligare användbar implementeringsvägledning (lägger till ISO 27002 ) för kontrollerna publicerade i ISO / IEC 27001
• Anger extra vägledning om PII-skyddskrav för det offentliga molnet

Dessa extra kontroller täcks inte av ISO 27002.

Vilka är målen för ISO 27018?

ISO 27018 ger generell överenskommen vägledning om kategorier för informationssäkerhet. Standarden riktar sig till offentliga molntjänstleverantörer som fungerar som PII-processorer.

Dess huvudmål är att:

• Hjälp allmänheten moln PII-processor uppfyller sina skyldigheter, inklusive när de har kontrakt för att tillhandahålla offentliga molntjänster
• Aktivera transparens, så att potentiella molntjänstkunder kan komma åt säkert, väl hanterad molnbaserad PII-bearbetning tjänster
• Hjälp molntjänster och användare att upprätta avtal för bearbetning av PII
• Ge molntjänstkunder en revision och efterlevnad metodik

Varför är det viktigt att säkra personligt identifierbar information?

Enligt IBM Securitys 2020 Data Breach Report involverar 80 % av alla dataintrång PII. Att säkra PII täcker en rad åtgärder, varav några du redan kommer att känna till. Dessa inkluderar:

• Minimera datainsamling och lagring
• Anta ett säkert datadestruktionsschema
• Datakryptering för både lagring och överföring
• Begränsa åtkomst till data
• Utbildning för anställda
• Överensstämmelse med relevanta bestämmelser
• Implementera en strategi för informationsstyrning

Storbritanniens Information Commissioner's Office (ICO) ger fullständig vägledning om vad som räknas som PII. Du kan läsa den här..
En PII-behandlare är alla offentliga molntjänster som behandlar personuppgifter för sina kunder. Kom ihåg att den ursprungliga klienten kan vara PII-kontrollanten, vilket skapar separata juridiska skyldigheter för dem. ISO/IEC 27018 täcker inte några av dessa extra krav.

Vad är personligt identifierbar information?

Kan du identifiera vem någon är utifrån de uppgifter de ger dig? Om du kan är det personligt identifierbar information. Per definition är PII information som kan länka tillbaka för att identifiera en individ. PII kan inkludera:

• En persons namn
• Deras födelsedatum
• Där de bor
• Deras IP-adress
• bankuppgifter
• Journaler
• Och mycket mer

Varför ska du behandla PII via molnet?

Det finns många fördelar med att behandla PII genom molnet. Att använda molnlagring för PII minskar driftskostnaderna jämfört med att lagra data på plats. Det gör också information mer tillgänglig när du är fjärrarbete. Men molndatalagring kan vara riskabelt. Du måste vara säker på att en molnleverantör har det bästa kontroller på plats för att hålla din information säker. Om du är en molnleverantör måste du visa dina kunder att du har utmärkta säkerhetskontroller på plats.

ISO 27018 klassar molntjänstleverantörer som processorer när de behandlar din organisations personuppgifter. Din organisation förblir klassad som registeransvarig även när en molntjänstleverantör behandlar dina uppgifter åt dig. Både processorer och personuppgiftsansvariga har juridiskt ansvar för PII-skydd.

Vad är historien om ISO/IEC 27018:2020?

Smakämnen hanteringsmiljön för informationssäkerhet utvecklas snabbt. Den tekniska standarden ISO/IEC 27001 tar inte upp PII. Så ISO skapade en ny, kompletterande standard 2014, ISO 27018. Den nya standarden tar upp oro över företag som behandlar personuppgifter hos molntjänstleverantörer. ISO/IEC 27018:2020 är den tredje versionen av 2014 års dokument.

Vad förändrades från ISO/IEC 27018:2019 till 27018:2020?

ISO/IEC 27018:2020 är den senaste versionen av ISO 27018. Skillnaderna mellan ISO 27018:2019 och ISO 27018:2020 är i huvudsak tekniska. För alla praktiska ändamål kan du behandla 2019- och 2020-versionerna av ISO 27018 som identiska.

Vad förändrades från ISO/IEC 27018:2014 till 27018:2019?

2019 års version av ISO 27018 innehöll endast mindre revisioner från 2014 års version. Den nya versionen av ISO 27018:

• Lade till en allmän bakgrundssektion
• Definierade det som ett dokument inte en internationell standard

Att definiera ISO 27018 som ett dokument och inte en standard är mer tekniskt korrekt, eftersom den överenskomna standarden för en Information Security Management System (ISMS) är ISO 27001.

ISO har dragit tillbaka ISO/IEC 27018:2014.

Vilket förhållande har ISO 27018 till andra standarder?

ISO 27018 är en av ISO 27000-familjen av hanteringsstandarder för informationssäkerhet. ISO 27000-standarderna tillhandahåller ett internationellt erkänt infosec-ramverk.

Hur relaterar ISO 27018 till ISO 27001?

ISO 27001 anger de tekniska kraven för att upprätta ett ISMS. Överensstämmelse med ISO 27001 är grundstandarden för datasäkerhet. ISO 27018 lägger till vägledning om dataskydd för molntjänster till ISO 27001.

Istället för att välja mellan ISO 27001 eller 27018, tänk på att implementera dem tillsammans. ISO 27001 är det bästa ramverket för att skapa ett ISMS som fokuserar på riskhantering. ISO 27018 lägger till vägledning för att uppnå robust säkerhet i molnet.

Hur relaterar ISO 27018 till ISO 27701?

ISO 27701 täcker integritetsinformationshantering, som anger krav och vägledning för implementering av ett integritetsinformationshanteringssystem (PIMS). Standarden ger också vägledning för PII-kontrollanter och processorer, inklusive implementeringsråd beroende på:

• Din plats
• Eventuell nationell lagstiftning eller förordningar

ISO 27701 mappar till ISO 27018 och EU:s GDPR-lagstiftning. Det är en förlängning av ISO 27001, grundstandarden för datasäkerhet.

Hur relaterar ISO 27018 till GDPR?

Om din organisation arbetar i Europeiska unionen måste du följa och så bör du vara medveten om GDPR (allmän dataskyddsförordning). Det är en EU-lag (och Storbritannien, post-Brexit) som reglerar behandlingen av personuppgifter. GDPR gäller inte bara EU-länder. Lagen gäller även för alla organisationer som tillhandahåller varor eller tjänster till EU.

GDPR och ISO 27018 har lite olika funktioner. GDPR anger regler för datasekretess och skydd. ISO 27018 ger dig ett praktiskt ramverk för att hantera dataskydds- och informationssäkerhetsrisker. Genom att implementera ISO 27001, tillsammans med 27018, får du en solid grund för efterlevnad av GDPR.

Vilka andra riktlinjer kompletterar ISO 27018?

ISO 27018 länkar till ISO/IEC 29100. ISO 29100 ger:

• Sekretessprinciper för den offentliga molnmiljön
• Ett allmänt ramverk för att skydda PII inom ett IKT-system

ISO 29100 länkar till ISO 27018 av:

• Hjälper dig att definiera PII-sekretesskrav
• Förklara de olika rollerna vid bearbetning av PII

ISO 29100 fastställer också viktiga integritetsprinciper och terminologi.

Vilka är fördelarna med ISO 27018?

Cybersäkerhet är en enorm fråga för företagens förtroende. På dagens globala marknad har det aldrig varit viktigare att skydda kunddata. ISO 27018 skapar ett robust globalt ramverk för efterlevnad.

ISO 27018 är särskilt användbart för molntjänstklienter. Det stöder revision för efterlevnad av internt ansvar. Detta är särskilt användbart när databehandlaren är en tredjepartsmolnleverantör.

Andra fördelar med ISO 27018 är att det:

• Minskar riskerna för dataintrång i molnet och relaterade regulatoriska böter
• Inspirerar förtroende för din organisation
  • Kunder och kunder kommer att veta att du är det skydda sina personuppgifter.
• Skyddar ditt varumärkes rykte

Vem kan implementera ISO 27018?

Denna standard är relevant för många typer av organisationer. Oavsett om du är:

• privat, offentlig eller icke-vinstdrivande sektor
• ett stort, medelstort eller litet företag

om du bearbeta PII-data via cloud computing är ISO 27018 något för dig.

Om du kontrakterar ut PII till ett annat företag kommer due diligence att visa om de fungerar med ISO/IEC 27018. Alla tjänsteleverantörer som använder molnet eller PII bör överväga ISO 27018.

De flesta välkända molntjänstleverantörer är utvecklar eller har utvecklat säkerhet åtgärder för att skydda PII. Stora branschaktörer som redan har ISO/IEC 27018-kompatibla policyer inkluderar:

• Amazon Web Services
• dropbox
• Google Apps for Work
• IBM Softlayer
• Microsoft Azure

Hur kommer jag igång med ISO 27018?

Det finns tre områden du bör titta på när du funderar på att implementera ISO 27018:

• Ta reda på vilka befintliga regler som gäller juridiskt för din organisation
• Glöm inte att ta med krav som gäller just din bransch
• Se om implementering av ISO 27018 kan ge upphov till ytterligare organisatoriska risker
• Förstå hur antagandet av ISO 27018 kan förändra din företagskultur/policy

Observera att dessa områden också omfattas av ISO 27001. ISO 27018 fokuserar djupare på PII och molntjänster.

Vad är bra ISO 27018-praxis?

När du använder ISO 27018 är det bra att börja med att förstå din utgångspunkt. Det är viktigt att bygga vidare på det som redan finns. Du måste också identifiera eventuella luckor som kan öka risken för dataintrång i molnet. En rigorös självutvärderingsprocess kommer att uppnå dessa mål.

När du har etablerat din utgångspunkt, investera i intern kommunikation. Ge dina kollegor besked om eventuella planerade förändringar och involvera dem i diskussioner om varför de behövs. Det hjälper dig:

• Skapa arbetskraftsägande
• Driv införandet av dataskyddskontroller och ISO 27018-åtgärder

Kan du bli certifierad för ISO 27018?

ISO 27018 en uppförandekod, inte en standard. ISO 27018-certifiering ingår i allmänhet i ISO 27001-revisionsprocessen, om den ingår som ett tillägg till ISMS.

För att få certifiering för en ISO-standard kommer en behörig revisor att genomföra en revision. Revisorn kommer att kontrollera om organisationen uppfyller ISO-kriterierna eller om det finns några luckor. Detta är känt som en steg 1-revision.

Efter revisionen kommer organisationen att ha tid att åtgärda eventuella luckor i:

• Processer
• Förfaranden
• Genomförande

Efter några veckor återkommer revisorn för steg 2-revisionen. Detta är en mycket längre och mer djupgående granskning än steg 1. Din steg 2-revision kommer att säkerställa att ISMS faktiskt fungerar som det är designat och implementerat.

Tilldelningen av ISO-certifiering följer efter detta besök förutsatt att ISMS uppfyller alla kriterier. Revisorn kommer att besöka organisationen regelbundet (vanligtvis årligen) för att bekräfta din fortsatta efterlevnad. För att behålla din ISO-certifierade status måste du klara dina årliga underhållsrevisioner.

Vilka är kraven i ISO/IEC 27018:2020?

ISO/IEC 27018 utökar vägledningen för implementering av säkerhetskontroller i ISO/IEC 27002. Dessa kontroller delar upp ansvaret för dataskydd i:

• Din ansvar som molntjänstkund och data kontrollant, även om du lägger ut datalagring.
• Din molntjänstleverantörs ansvar som databehandlare

De utökade säkerhetskontrollerna inkluderar:

• PII-krypteringskrav under lagring och överföring
• Ett säkert raderingsschema för alla PII som inte längre krävs
• Ett molntjänstavtal som definierar varför PII-behandling sker
• Robusta försäkringar från leverantörer av molntjänster för informationsstyrning

Du behöver också en extra uppsättning säkerhetskontroller. Dessa överensstämmer med integritetsprinciperna som anges i ISO/IEC 29100 integritetsramverket. ISO/IEC 27018 tillåter molnleverantörer att bevisa att de vet hur de ska skydda sina kunders PII.

Om din organisation bearbetar PII, överväg att implementera ISO 27018 tillsammans med ett ISO 27001 ISMS. Om du fortfarande är nyfiken på detaljerna i vad som ingår i rapporten, här är hela listan över ISO 27018:s klausuler: