ISO 27018 är uppförandekoden för skydd av personligt identifierbar information (PII) i offentliga moln. Vi ska utforska vad det betyder för både leverantörer och kunder.
ISO/IEC 27018 är den internationella standarden för att skydda personlig information i molnlagring. Termen för de personuppgifter som den omfattar är Personligt identifierbar information eller PII. ISO 27018 är en uppförandekod för offentliga molntjänstleverantörer.
ISO 27018 gör två saker:
Dessa extra kontroller täcks inte av ISO 27002.
ISO 27018 ger generell överenskommen vägledning om kategorier för informationssäkerhet. Standarden riktar sig till offentliga molntjänstleverantörer som fungerar som PII-processorer.
Dess huvudmål är att:
Enligt IBM Securitys 2020 Data Breach Report involverar 80 % av alla dataintrång PII. Att säkra PII täcker en rad åtgärder, varav några du redan kommer att känna till. Dessa inkluderar:
Storbritanniens Information Commissioner's Office (ICO) ger fullständig vägledning om vad som räknas som PII. Du kan läsa den här..
En PII-behandlare är alla offentliga molntjänster som behandlar personuppgifter för sina kunder. Kom ihåg att den ursprungliga klienten kan vara PII-kontrollanten, vilket skapar separata juridiska skyldigheter för dem. ISO/IEC 27018 täcker inte några av dessa extra krav.
ISMS.online gör det så enkelt som möjligt att installera och hantera ditt ISMS.
Vi kan inte komma på något företag vars tjänst kan hålla ett ljus till ISMS.online.
Kan du identifiera vem någon är utifrån de uppgifter de ger dig? Om du kan är det personligt identifierbar information. Per definition är PII information som kan länka tillbaka för att identifiera en individ. PII kan inkludera:
Det finns många fördelar med att behandla PII genom molnet. Att använda molnlagring för PII minskar driftskostnaderna jämfört med att lagra data på plats. Det gör också information mer tillgänglig när du är fjärrarbete. Men molndatalagring kan vara riskabelt. Du måste vara säker på att en molnleverantör har det bästa kontroller på plats för att hålla din information säker. Om du är en molnleverantör måste du visa dina kunder att du har utmärkta säkerhetskontroller på plats.
ISO 27018 klassar molntjänstleverantörer som processorer när de behandlar din organisations personuppgifter. Din organisation förblir klassad som registeransvarig även när en molntjänstleverantör behandlar dina uppgifter åt dig. Både processorer och personuppgiftsansvariga har juridiskt ansvar för PII-skydd.
Smakämnen hanteringsmiljön för informationssäkerhet utvecklas snabbt. Den tekniska standarden ISO/IEC 27001 tar inte upp PII. Så ISO skapade en ny, kompletterande standard 2014, ISO 27018. Den nya standarden tar upp oro över företag som behandlar personuppgifter hos molntjänstleverantörer. ISO/IEC 27018:2020 är den tredje versionen av 2014 års dokument.
ISO/IEC 27018:2020 är den senaste versionen av ISO 27018. Skillnaderna mellan ISO 27018:2019 och ISO 27018:2020 är i huvudsak tekniska. För alla praktiska ändamål kan du behandla 2019- och 2020-versionerna av ISO 27018 som identiska.
2019 års version av ISO 27018 innehöll endast mindre revisioner från 2014 års version. Den nya versionen av ISO 27018:
Att definiera ISO 27018 som ett dokument och inte en standard är mer tekniskt korrekt, eftersom den överenskomna standarden för en Information Security Management System (ISMS) är ISO 27001.
ISO har dragit tillbaka ISO/IEC 27018:2014.
Jag skulle verkligen rekommendera ISMS.online, det gör att konfigurera och hantera ditt ISMS så enkelt som det kan bli.
ISO 27018 är en av ISO 27000-familjen av hanteringsstandarder för informationssäkerhet. ISO 27000-standarderna tillhandahåller ett internationellt erkänt infosec-ramverk.
ISO 27001 anger de tekniska kraven för att upprätta ett ISMS. Överensstämmelse med ISO 27001 är grundstandarden för datasäkerhet. ISO 27018 lägger till vägledning om dataskydd för molntjänster till ISO 27001.
Istället för att välja mellan ISO 27001 eller 27018, tänk på att implementera dem tillsammans. ISO 27001 är det bästa ramverket för att skapa ett ISMS som fokuserar på riskhantering. ISO 27018 lägger till vägledning för att uppnå robust säkerhet i molnet.
ISO 27701 täcker integritetsinformationshantering, som anger krav och vägledning för implementering av ett integritetsinformationshanteringssystem (PIMS). Standarden ger också vägledning för PII-kontrollanter och processorer, inklusive implementeringsråd beroende på:
ISO 27701 mappar till ISO 27018 och EU:s GDPR-lagstiftning. Det är en förlängning av ISO 27001, grundstandarden för datasäkerhet.
Om din organisation arbetar i Europeiska unionen måste du följa och så bör du vara medveten om GDPR (allmän dataskyddsförordning). Det är en EU-lag (och Storbritannien, post-Brexit) som reglerar behandlingen av personuppgifter. GDPR gäller inte bara EU-länder. Lagen gäller även för alla organisationer som tillhandahåller varor eller tjänster till EU.
GDPR och ISO 27018 har lite olika funktioner. GDPR anger regler för datasekretess och skydd. ISO 27018 ger dig ett praktiskt ramverk för att hantera dataskydds- och informationssäkerhetsrisker. Genom att implementera ISO 27001, tillsammans med 27018, får du en solid grund för efterlevnad av GDPR.
ISO 27018 länkar till ISO/IEC 29100. ISO 29100 ger:
ISO 29100 länkar till ISO 27018 av:
ISO 29100 fastställer också viktiga integritetsprinciper och terminologi.
Boka en skräddarsydd praktisk session utifrån dina behov och mål.
Cybersäkerhet är en enorm fråga för företagens förtroende. På dagens globala marknad har det aldrig varit viktigare att skydda kunddata. ISO 27018 skapar ett robust globalt ramverk för efterlevnad.
ISO 27018 är särskilt användbart för molntjänstklienter. Det stöder revision för efterlevnad av internt ansvar. Detta är särskilt användbart när databehandlaren är en tredjepartsmolnleverantör.
Andra fördelar med ISO 27018 är att det:
Denna standard är relevant för många typer av organisationer. Oavsett om du är:
om du bearbeta PII-data via cloud computing är ISO 27018 något för dig.
Om du kontrakterar ut PII till ett annat företag kommer due diligence att visa om de fungerar med ISO/IEC 27018. Alla tjänsteleverantörer som använder molnet eller PII bör överväga ISO 27018.
De flesta välkända molntjänstleverantörer är utvecklar eller har utvecklat säkerhet åtgärder för att skydda PII. Stora branschaktörer som redan har ISO/IEC 27018-kompatibla policyer inkluderar:
Det finns tre områden du bör titta på när du funderar på att implementera ISO 27018:
Observera att dessa områden också omfattas av ISO 27001. ISO 27018 fokuserar djupare på PII och molntjänster.
När du använder ISO 27018 är det bra att börja med att förstå din utgångspunkt. Det är viktigt att bygga vidare på det som redan finns. Du måste också identifiera eventuella luckor som kan öka risken för dataintrång i molnet. En rigorös självutvärderingsprocess kommer att uppnå dessa mål.
När du har etablerat din utgångspunkt, investera i intern kommunikation. Ge dina kollegor besked om eventuella planerade förändringar och involvera dem i diskussioner om varför de behövs. Det hjälper dig:
ISO 27018 en uppförandekod, inte en standard. ISO 27018-certifiering ingår i allmänhet i ISO 27001-revisionsprocessen, om den ingår som ett tillägg till ISMS.
För att få certifiering för en ISO-standard kommer en behörig revisor att genomföra en revision. Revisorn kommer att kontrollera om organisationen uppfyller ISO-kriterierna eller om det finns några luckor. Detta är känt som en steg 1-revision.
Efter revisionen kommer organisationen att ha tid att åtgärda eventuella luckor i:
Efter några veckor återkommer revisorn för steg 2-revisionen. Detta är en mycket längre och mer djupgående granskning än steg 1. Din steg 2-revision kommer att säkerställa att ISMS faktiskt fungerar som det är designat och implementerat.
Tilldelningen av ISO-certifiering följer efter detta besök förutsatt att ISMS uppfyller alla kriterier. Revisorn kommer att besöka organisationen regelbundet (vanligtvis årligen) för att bekräfta din fortsatta efterlevnad. För att behålla din ISO-certifierade status måste du klara dina årliga underhållsrevisioner.
ISO/IEC 27018 utökar vägledningen för implementering av säkerhetskontroller i ISO/IEC 27002. Dessa kontroller delar upp ansvaret för dataskydd i:
De utökade säkerhetskontrollerna inkluderar:
Du behöver också en extra uppsättning säkerhetskontroller. Dessa överensstämmer med integritetsprinciperna som anges i ISO/IEC 29100 integritetsramverket. ISO/IEC 27018 tillåter molnleverantörer att bevisa att de vet hur de ska skydda sina kunders PII.
Om din organisation bearbetar PII, överväg att implementera ISO 27018 tillsammans med ett ISO 27001 ISMS. Om du fortfarande är nyfiken på detaljerna i vad som ingår i rapporten, här är hela listan över ISO 27018:s klausuler:
Ladda ner din gratis guide
för att effektivisera din Infosec
Observera att listan nedan är ett tillägg till kontroller definierade i ISO 27001.
Klausul 1: Omfattning
Klausul 2: Normativa referenser
Punkt 3: Termer och definitioner
Klausul 4: Översikt
4.1: Detta dokuments struktur
4.2: Kontrollkategorier
Klausul 5: Informationssäkerhetspolicyer
5.1: Ledningsinriktning för informationssäkerhet
Punkt 6: Organisation av informationssäkerhet
6.1: Intern organisation
6.2: Mobila enheter och distansarbete
Klausul 7: Säkerhet för mänskliga resurser
7.1: Före anställning
7.2: Under anställning
7.3: Uppsägning och byte av anställning
Punkt 8: Kapitalförvaltning
Punkt 9: Tillträdeskontroll
9.1: Affärskrav för åtkomstkontroll
9.2: Användaråtkomsthantering
9.3: Användaransvar
9.4: System- och applikationsåtkomstkontroll
Klausul 10: Kryptografi
10.1: Kryptografiska kontroller
Paragraf 11: Fysisk och miljömässig säkerhet
11.1: Säkra områden
11.2: Utrustning
Klausul 12: Driftsäkerhet
12.1: Operativa rutiner och ansvar
12.2: Skydd mot skadlig programvara
12.3: Säkerhetskopiering
12.4: Loggning och övervakning
12.5: Styrning av operativ programvara
12.6: Teknisk sårbarhetshantering
12.7: Överväganden för revision av informationssystem
Klausul 13: Kommunikationssäkerhet
13.1: Nätverkssäkerhetshantering
13.2: Informationsöverföring
Punkt 14: Systemförvärv, utveckling och underhåll
Punkt 15: Leverantörsförhållanden
Klausul 16: Hantering av informationssäkerhetsincidenter
16.1: Hantering av informationssäkerhetsincidenter och förbättringar
Klausul 17: Informationssäkerhetsaspekter av affärskontinuitetshantering
Klausul 18: Efterlevnad
18.1: Efterlevnad av juridiska och kontraktuella krav
18.2: Informationssäkerhetsgranskningar
Observera att listan nedan är ett tillägg till kontroller definierade i ISO 27001. Bilaga A Public cloud PII-processor utökad kontrolluppsättning för PII-skydd.
1: Allmänt
2: Samtycke och val
3: Syftes legitimitet och specifikation
4: Insamlingsbegränsning
5: Dataminimering
6: Användnings-, kvarhållnings- och avslöjandebegränsning
7: Noggrannhet och kvalitet
8: Öppenhet, transparens och uppmärksamhet
9: Individuellt deltagande och tillgång
10: Ansvar
11: Informationssäkerhet
12: Sekretessefterlevnad
100 % av våra användare uppnår ISO 27001-certifiering första gången