ISO 27018 on käytännesäännöt henkilökohtaisten tunnistetietojen (PII) suojaamiseksi julkisissa pilvissä. Aiomme selvittää, mitä se tarkoittaa sekä palveluntarjoajille että asiakkaille.
ISO/IEC 27018 on kansainvälinen standardi henkilökohtaisten tietojen suojaamiseksi pilvitallennustilassa. Sen kattamien henkilötietojen termi on Henkilökohtaisesti tunnistettavat tiedot tai PII. ISO 27018 on käytännesäännöt julkisille pilvipalveluntarjoajille.
ISO 27018 tekee kaksi asiaa:
Nämä lisäsäätimet eivät kuulu ISO 27002:n piiriin.
ISO 27018 antaa yleiset sovitut ohjeet tietoturvaluokista. Standardi on suunnattu julkisille pilvipalveluntarjoajille, jotka toimivat henkilötietojen käsittelijöinä.
Sen tärkeimmät tavoitteet ovat:
IBM Securityn 2020 Data Breach Reportin mukaan 80 % kaikista tietomurroista liittyy henkilökohtaisiin tietoihin. Henkilökohtaisten tunnistetietojen suojaaminen kattaa joukon toimenpiteitä, joista jotkin ovat sinulle jo tuttuja. Nämä sisältävät:
Ison-Britannian tietokomissaarin toimisto (ICO) antaa täydelliset ohjeet siitä, mikä lasketaan henkilökohtaisiksi tiedoksi. Voit lukea sen tätä.
Henkilötietojen käsittelijä on mikä tahansa julkinen pilvipalvelun tarjoaja, joka käsittelee henkilötietoja asiakkailleen. Muista, että alkuperäinen asiakas voi olla henkilötietojen rekisterinpitäjä, mikä luo hänelle erilliset lakisääteiset velvoitteet. ISO/IEC 27018 ei kata mitään näistä lisävaatimuksista.
ISMS.online tekee ISMS:n määrittämisestä ja hallinnasta niin helppoa kuin mahdollista.
Emme voi ajatella yhtäkään yritystä, jonka palvelu voisi pitää kynttilän ISMS.onlinelle.
Pystytkö tunnistamaan, kuka joku on sinulle antamista tiedoista? Jos voit, ne ovat henkilökohtaisia tunnistetietoja. Määritelmän mukaan henkilökohtainen tunnistetiedot ovat tietoja, jotka voivat linkittää takaisin yksilön tunnistamiseksi. Henkilökohtaiset tunnistetiedot voivat sisältää:
Henkilötietojen käsittelyssä pilven kautta on monia etuja. Pilvitallennustilan käyttö henkilökohtaisia tunnistetietoja varten vähentää toimintakustannuksia verrattuna tietojen tallentamiseen paikan päällä. Se tekee myös tiedoista helpommin saatavilla ollessasi etätyö. Mutta pilvitietojen tallennus voi olla riskialtista. Sinun täytyy olla varma, että pilvipalveluntarjoajalla on paras hallintalaitteet, jotka pitävät tietosi turvassa. Jos olet pilvipalveluntarjoaja, sinun on näytettävä asiakkaillesi, että sinulla on erinomaiset suojaustoiminnot käytössä.
ISO 27018 luokittelee pilvipalveluntarjoajat käsittelijöiksi, kun he käsittelevät organisaatiosi henkilötietoja. Organisaatiosi pysyy luokiteltuna rekisterinpitäjä vaikka pilvipalveluntarjoaja käsittelee tietojasi puolestasi. Sekä käsittelijöillä että rekisterinpitäjillä on laillinen vastuu henkilötietojen suojasta.
- tietoturvan hallintaympäristö kehittyy nopeasti. Tekninen standardi ISO/IEC 27001 ei koske henkilökohtaisia tunnistetietoja. Niinpä ISO loi vuonna 2014 uuden, täydentävän standardin, ISO 27018. Uusi standardi käsittelee huolenaiheita yrityksistä, jotka käsittelevät henkilötietoja pilvipalveluntarjoajissa. ISO/IEC 27018:2020 on vuoden 2014 asiakirjan kolmas versio.
ISO/IEC 27018:2020 on ISO 27018:n uusin versio. Erot ISO 27018:2019 ja ISO 27018:2020 välillä ovat olennaisesti teknisiä. Käytännön syistä voit pitää ISO 2019 -standardin 2020 ja 27018 versioita identtisinä.
ISO 2019:n vuoden 27018 versio sisälsi vain pieniä muutoksia vuoden 2014 versiosta. ISO 27018:n uusi versio:
ISO 27018:n määrittäminen asiakirjaksi, ei standardiksi, on teknisesti tarkempaa, koska sovittu standardi Tietoturvan hallintajärjestelmä (ISMS) on ISO 27001.
ISO on peruuttanut standardin ISO/IEC 27018:2014.
Suosittelisin ehdottomasti ISMS.onlinea, sillä se tekee ISMS:n määrittämisestä ja hallinnasta niin helppoa kuin mahdollista.
ISO 27018 on yksi ISO 27000 -perheen tietoturvan hallintastandardeista. ISO 27000 -standardit tarjoavat kansainvälisesti tunnustetun infosec-kehyksen.
ISO 27001 määrittelee tekniset vaatimukset ISMS:n perustamiselle. ISO 27001 -standardin noudattaminen on tietoturvan perusstandardi. ISO 27018 lisää ohjeita pilvipalvelun tietosuojasta ISO 27001:een.
Sen sijaan, että valitset ISO 27001:n tai 27018:n välillä, harkitse niiden toteuttamista yhdessä. ISO 27001 on paras viitekehys riskienhallintaan keskittyvän ISMS:n luomiseen. ISO 27018 lisää ohjeita vankan tietoturvan saavuttamiseen pilvessä.
ISO 27701 kattaa tietosuojatietojen hallinnan, jossa asetetaan vaatimukset ja ohjeet tietosuojatietojen hallintajärjestelmän (PIMS) käyttöönotolle. Standardi antaa myös ohjeita henkilökohtaisten tunnistetietojen ohjaajille ja prosessoreille, mukaan lukien käyttöönotto-ohjeet riippuen:
ISO 27701 vastaa ISO 27018 -standardia ja EU:n GDPR-lainsäädäntöä. Se on laajennus ISO 27001 -standardille, joka on tietoturvallisuuden perusstandardi.
Jos organisaatiosi toimii Euroopan unionin alueella, sinun on noudatettava vaatimuksia ja se on oltava tietoinen GDPR (yleinen tietosuoja-asetus). Se on EU-laki (ja Yhdistyneen kuningaskunnan Brexitin jälkeinen laki), joka säätelee henkilötietojen käsittelyä. GDPR ei koske vain EU-maita. Laki koskee myös kaikkia organisaatioita, jotka tarjoavat tavaroita tai palveluita EU:hun.
GDPR ja ISO 27018 palvelevat hieman eri tehtäviä. GDPR määrittelee tietosuoja- ja tietosuojasäännökset. ISO 27018 antaa sinulle käytännön puitteet tietosuoja- ja tietoturvariskien hallintaan. ISO 27001:n käyttöönotto yhdessä 27018:n kanssa antaa vankan perustan GDPR:n noudattamiselle.
ISO 27018 linkittyy standardiin ISO/IEC 29100. ISO 29100 tarjoaa:
ISO 29100 linkit ISO 27018:aan:
ISO 29100 määrittää myös keskeiset tietosuojaperiaatteet ja terminologian.
Varaa räätälöity käytännönläheinen istunto tarpeidesi ja tavoitteidesi mukaan.
Kyberturvallisuus on valtava kysymys yritysten luottamukselle. Nykypäivän globaaleilla markkinoilla asiakastietojen suojaaminen ei ole koskaan ollut kriittistä. ISO 27018 luo vankan maailmanlaajuisen vaatimustenmukaisuuskehyksen.
ISO 27018 on erityisen hyödyllinen pilvipalveluasiakkaille. Se tukee auditointia sisäisten vastuiden noudattamiseksi. Tämä on erityisen hyödyllistä, kun tietojen käsittelijä on kolmannen osapuolen pilvipalveluntarjoaja.
Muita ISO 27018:n etuja ovat, että se:
Tämä standardi koskee monenlaisia organisaatioita. Oletko:
Jos käsitellä henkilökohtaisia tunnistetietoja pilvipalvelun kautta ISO 27018 on sinua varten.
Jos tilaat henkilökohtaisia tunnistetietoja toiselle yritykselle, due diligence osoittaa, toimivatko ne ISO/IEC 27018:n kanssa. Kaikkien pilvipalveluita tai henkilökohtaisia tunnistetietoja käyttävien palveluntarjoajien tulee harkita ISO 27018:aa.
Tunnetuimmat pilvipalveluntarjoajat ovat kehittänyt tai kehittänyt turvallisuutta toimenpiteet henkilötietojen suojaamiseksi. Tärkeimpiä alan toimijoita, joilla on jo ISO/IEC 27018 -yhteensopivat käytännöt, ovat mm.
Kun harkitset ISO 27018:n käyttöönottoa, sinun tulee ottaa huomioon kolme aluetta:
Huomaa, että nämä alueet kuuluvat myös ISO 27001 -standardin piiriin. ISO 27018 keskittyy syvemmin henkilökohtaisiin tunnistetietoihin ja pilvipalveluihin.
ISO 27018 -standardin käyttöönoton yhteydessä on hyvä aloittaa ymmärtämällä lähtökohtasi. On tärkeää rakentaa sen pohjalle, mikä on jo olemassa. Sinun on myös tunnistettava mahdolliset aukot, jotka voivat lisätä tietomurron riskiä pilvessä. Tiukat itsearviointiprosessit saavuttavat nämä tavoitteet.
Kun olet määrittänyt lähtöpisteesi, panosta sisäiseen viestintään. Ilmoita kollegoillesi kaikista suunnitelluista muutoksista ja ota heidät mukaan keskusteluun siitä, miksi niitä tarvitaan. Se auttaa sinua:
ISO 27018 on käytännesääntö, ei standardi. ISO 27018 -sertifiointi sisältyy yleensä ISO 27001 -auditointiprosessiin, jos se on sisällytetty ISMS:ään.
ISO-standardin sertifioinnin saamiseksi pätevä auditoija suorittaa auditoinnin. Tarkastaja tarkistaa, täyttääkö organisaatio ISO-kriteerit tai onko siinä puutteita. Tämä tunnetaan vaiheen 1 tarkastuksena.
Tarkastuksen jälkeen organisaatiolla on aikaa korjata mahdolliset puutteet:
Muutaman viikon kuluttua tilintarkastaja palaa vaiheen 2 auditointiin. Tämä on paljon pidempi ja perusteellisempi tarkastus kuin vaihe 1. Vaiheen 2 tarkastus varmistaa, että ISMS todella toimii suunnitellusti ja toteutetulla tavalla.
Tämän vierailun jälkeen myönnetään ISO-sertifikaatti edellyttäen, että ISMS täyttää kaikki kriteerit. Tarkastaja vierailee organisaatiossa määräajoin (yleensä vuosittain) vahvistaakseen noudattamisesi. ISO-sertifioidun aseman säilyttämiseksi sinun on läpäistävä vuosittaiset huoltotarkastukset.
ISO/IEC 27018 laajentaa ISO/IEC 27002 -standardin turvakontrollien käyttöönottoa koskevia ohjeita. Nämä säädöt jakavat tietosuojavastuut seuraavasti:
Laajennetut turvatarkastukset sisältävät:
Tarvitset myös ylimääräisiä suojauslaitteita. Nämä ovat yhdenmukaisia ISO/IEC 29100 -tietosuojakehyksessä asetettujen tietosuojaperiaatteiden kanssa. ISO/IEC 27018 antaa pilvipalveluntarjoajille mahdollisuuden todistaa, että he osaavat suojata asiakkaidensa henkilökohtaisia tunnistetietoja.
Jos organisaatiosi käsittelee henkilökohtaisia tunnistetietoja, harkitse ISO 27018:n käyttöönottoa ISO 27001 ISMS:n rinnalla. Jos olet edelleen kiinnostunut raportin sisällöstä, tässä on täydellinen luettelo ISO 27018 -lausekkeista:
Huomaa, että alla oleva luettelo täydentää ISO 27001:ssä määritellyt säätimet.
Lauseke 1: Soveltamisala
Kohta 2: Normatiiviset viittaukset
Lauseke 3: Termit ja määritelmät
Lauseke 4: Yleiskatsaus
4.1: Tämän asiakirjan rakenne
4.2: Kontrolliluokat
Lauseke 5: Tietoturvakäytännöt
5.1: Tietoturvan johtamissuunta
Lauseke 6: Tietoturvan järjestäminen
6.1: Sisäinen organisaatio
6.2: Mobiililaitteet ja etätyö
Lause 7: Henkilöresurssien turvallisuus
7.1: Ennen työllistymistä
7.2: Työsuhteen aikana
7.3: Työsuhteen päättyminen ja muutos
Lauseke 8: Omaisuudenhoito
Lauseke 9: Kulunvalvonta
9.1: Kulunvalvonnan liiketoimintavaatimukset
9.2: Käyttäjien käyttöoikeuksien hallinta
9.3: Käyttäjän velvollisuudet
9.4: Järjestelmän ja sovellusten pääsynhallinta
Lauseke 10: Kryptografia
10.1: Salausohjaimet
Lause 11: Fyysinen ja ympäristöturvallisuus
11.1: Turvalliset alueet
11.2: Laitteet
Lause 12: Käyttöturvallisuus
12.1: Toimintamenettelyt ja vastuut
12.2: Suojaus haittaohjelmilta
12.3: Varmuuskopiointi
12.4: Kirjaaminen ja seuranta
12.5: Käyttöohjelmiston ohjaus
12.6: Teknisten haavoittuvuuksien hallinta
12.7: Tietojärjestelmien auditointia koskevat näkökohdat
Lause 13: Viestintäturva
13.1: Verkkoturvallisuuden hallinta
13.2: Tiedonsiirto
Kohta 14: Järjestelmän hankinta, kehittäminen ja ylläpito
Lauseke 15: Toimittajasuhteet
Kohta 16: Tietoturvaloukkausten hallinta
16.1: Tietoturvahäiriöiden hallinta ja parannukset
Lauseke 17: Liiketoiminnan jatkuvuuden hallinnan tietoturvanäkökohdat
Lauseke 18: Vaatimustenmukaisuus
18.1: Lakisääteisten ja sopimusehtojen noudattaminen
18.2: Tietoturvatarkastukset
Huomaa, että alla oleva luettelo täydentää standardissa ISO 27001 määriteltyjä ohjaimia. Liite A Julkisen pilven PII-prosessorin laajennettu ohjausjoukko henkilökohtaisten tunnistetietojen suojausta varten.
1: Kenraali
2: Suostumus ja valinta
3: Tarkoituksen legitiimiys ja määrittely
4: Keräysrajoitus
5: Tietojen minimointi
6: Käyttö-, säilytys- ja paljastamisrajoitukset
7: Tarkkuus ja laatu
8: Avoimuus, läpinäkyvyys ja huomio
9: Yksilöllinen osallistuminen ja pääsy
10: Vastuullisuus
11: Tietoturva
12: Yksityisyyden suoja
100 % käyttäjistämme saavuttaa ISO 27001 -sertifikaatin ensimmäistä kertaa
