ISO 27018 הוא קוד הנוהג להגנה על מידע אישי מזהה (PII) בעננים ציבוריים. אנחנו הולכים לחקור מה זה אומר הן עבור הספקים והן עבור הלקוחות.
ISO/IEC 27018 הוא התקן הבינלאומי להגנה על מידע אישי באחסון ענן. המונח לנתונים האישיים שהוא מכסה הוא מידע המאפשר זיהוי אישי או PII. ISO 27018 הוא קוד נוהג לספקי שירותי ענן ציבוריים.
ISO 27018 עושה שני דברים:
בקרות נוספות אלה אינן מכוסות ב-ISO 27002.
תקן ISO 27018 נותן הנחיה כללית מוסכמת לגבי קטגוריות אבטחת מידע. התקן מכוון לספקי שירותי ענן ציבוריים הפועלים כמעבדי PII.
מטרותיה העיקריות הן:
על פי דוח הפרת הנתונים של IBM Security לשנת 2020, 80% מכל הפרצות הנתונים כוללות PII. אבטחת PII מכסה מגוון של אמצעים, שחלקם כבר תכירו. אלו כוללים:
משרד נציב המידע של בריטניה (ICO) נותן הנחיות מלאות לגבי מה שנחשב כ-PII. אתה יכול לקרוא את זה כאן.
מעבד PII הוא כל ספק שירותי ענן ציבורי שמעבד נתונים אישיים עבור הלקוחות שלהם. זכור שהלקוח המקורי עשוי להיות הבקר PII, מה שיוצר עבורו התחייבויות משפטיות נפרדות. ISO/IEC 27018 אינו מכסה אף אחת מהדרישות הנוספות הללו.
אנחנו לא יכולים לחשוב על אף חברה שהשירות שלה יכול להחזיק נר ל-ISMS.online.
האם אתה יכול לזהות מי מישהו לפי הנתונים שהוא נותן לך? אם אתה יכול, זה מידע אישי מזהה. בהגדרה, PII הוא מידע שיכול לקשר חזרה לזיהוי אדם. PII יכול לכלול:
ישנם יתרונות רבים לעיבוד PII דרך הענן. שימוש באחסון בענן עבור PII מפחית עלויות תפעול בהשוואה לאחסון נתונים באתר. זה גם הופך את המידע לנגיש יותר כשאתה נמצא עבודה מרחוק. אבל אחסון נתונים בענן יכול להיות מסוכן. אתה צריך להיות בטוח שלספק ענן יש את הטוב ביותר בקרות במקום כדי לשמור על אבטחת המידע שלך. אם אתה ספק ענן, תצטרך להראות ללקוחות שלך שיש לך בקרות אבטחה מצוינות במקום.
תקן ISO 27018 מחלק את ספקי שירותי הענן כמעבדים כאשר הם מעבדים את הנתונים האישיים של הארגון שלך. הארגון שלך נשאר מסווג כ- בקר נתונים גם כאשר ספק שירותי ענן מעבד את הנתונים שלך עבורך. גם למעבדים וגם לבקרי הנתונים יש אחריות משפטית להגנת PII.
השמיים סביבת ניהול אבטחת מידע מתפתחת במהירות. התקן הטכני ISO/IEC 27001 אינו מתייחס ל-PII. אז ISO יצרה תקן חדש ומשלים בשנת 2014, ISO 27018. התקן החדש מתייחס לחששות לגבי חברות המעבדות נתונים אישיים אצל ספקי שירותי ענן. ISO/IEC 27018:2020 היא הגרסה השלישית של מסמך 2014.
ISO/IEC 27018:2020 היא הגרסה העדכנית ביותר של ISO 27018. ההבדלים בין ISO 27018:2019 ל-ISO 27018:2020 הם טכניים בעיקרם. לכל המטרות המעשיות, אתה יכול להתייחס לגרסאות 2019 ו-2020 של ISO 27018 כאל זהות.
גרסת 2019 של ISO 27018 הכילה רק תיקונים קלים מגרסת 2014. הגרסה החדשה של ISO 27018:
הגדרת ISO 27018 כמסמך ולא כתקן מדויקת יותר מבחינה טכנית, מכיוון שהתקן המוסכם עבור מערכת ניהול אבטחת מידע (ISMS) הוא ISO 27001.
ISO ביטלה את ISO/IEC 27018:2014.
ISO 27018 הוא אחד ממשפחת תקני ניהול אבטחת המידע ISO 27000. תקני ISO 27000 מספקים מסגרת infosec מוכרת בינלאומית.
ISO 27001 מגדיר את הדרישות הטכניות להקמת ISMS. עמידה בתקן ISO 27001 הוא התקן הבסיסי לאבטחת מידע. ISO 27018 מוסיף הנחיות לגבי הגנת נתונים של שירותי ענן ל-ISO 27001.
במקום לבחור בין ISO 27001 או 27018, חשוב ליישם אותם יחד. ISO 27001 הוא המסגרת הטובה ביותר ליצירת ISMS המתמקד בניהול סיכונים. ISO 27018 מוסיף הנחיות להשגת אבטחה חזקה בענן.
ISO 27701 מכסה ניהול מידע פרטיות, קביעת דרישות והדרכה להטמעת מערכת ניהול מידע פרטיות (PIMS). התקן גם נותן הנחיות לבקרי ומעבדי PII, כולל ייעוץ יישום בהתאם ל:
ISO 27701 ממפה ל-ISO 27018 ולחקיקת ה-GDPR של האיחוד האירופי. זוהי הרחבה של ISO 27001, תקן היסוד לאבטחת מידע.
אם הארגון שלך עובד באיחוד האירופי, עליך לציית לכך וכך עליך להיות מודע GDPR (תקנה כללית להגנת נתונים). זהו חוק של האיחוד האירופי (ובריטניה, פוסט-ברקזיט) שקובע את עיבוד הנתונים האישיים. GDPR לא חל רק על מדינות האיחוד האירופי. החוק חל גם על כל ארגון המספק סחורות או שירותים לאיחוד האירופי.
GDPR ו-ISO 27018 משרתים פונקציות שונות במקצת. GDPR קובע תקנות פרטיות והגנה על נתונים. ISO 27018 נותן לך מסגרת מעשית לניהול סיכוני הגנת מידע ואבטחת מידע. יישום ISO 27001, בשילוב עם 27018, נותן לך בסיס איתן לעמידה ב-GDPR.
ISO 27018 קישורים ל-ISO/IEC 29100. ISO 29100 מספק:
ISO 29100 קישורים ל-ISO 27018 על ידי:
תקן ISO 29100 קובע גם עקרונות ומינוח מפתח פרטיות.
הזמינו פגישה מעשית מותאמת בהתאם לצרכים ולמטרות שלכם.
אבטחת סייבר היא נושא עצום לביטחון עסקי. בשוק הגלובלי של היום, הגנה על נתוני לקוחות מעולם לא הייתה קריטית יותר. ISO 27018 יוצר מסגרת עמידה גלובלית חזקה.
ISO 27018 מועיל במיוחד עבור לקוחות שירותי ענן. הוא תומך בביקורת לעמידה באחריות פנימית. זה מועיל במיוחד כאשר מעבד הנתונים הוא ספק ענן של צד שלישי.
יתרונות נוספים של ISO 27018 הם שזה:
תקן זה רלוונטי עבור סוגים רבים של ארגונים. בין אם אתה:
אם אתה לעבד נתוני PII באמצעות מחשוב ענן, ISO 27018 הוא בשבילך.
אם אתה מחלק PII לחברה אחרת, בדיקת נאותות תראה אם הם עובדים עם ISO/IEC 27018. כל ספק שירות שמשתמש בענן או PII צריך לשקול את ISO 27018.
רוב ספקי שירותי הענן הידועים הם מפתחים או פיתחו אבטחה אמצעים להגנה על PII. שחקנים מרכזיים בתעשייה שכבר יש להם מדיניות תואמת ISO/IEC 27018 כוללים:
ישנם שלושה תחומים שאתה צריך להסתכל עליהם כאשר אתה חושב על יישום ISO 27018:
שימו לב שתחומים אלה מכוסים גם על ידי ISO 27001. ISO 27018 מתמקד יותר בשירותי PII ומחשוב ענן.
כאשר מאמצים את ISO 27018, מומלץ להתחיל בהבנת נקודת המוצא שלך. חשוב לבנות על מה שכבר קיים. תצטרך גם לזהות פערים שעלולים להגביר את הסיכון לפריצת נתונים בענן. תהליך הערכה עצמית קפדני ישיג את המטרות הללו.
לאחר שקבעתם את נקודת המוצא שלכם, השקיעו בתקשורת פנימית. תן לעמיתיך הודעה על כל שינוי מתוכנן וערב אותם בדיונים מדוע הם נחוצים. זה יעזור לך:
ISO 27018 קוד נוהג, לא תקן. הסמכת ISO 27018 נכללת בדרך כלל בתהליך הביקורת ISO 27001, אם היא נכללת כתוספת ל-ISMS.
כדי לקבל הסמכה לתקן ISO, מבקר מוסמך יבצע ביקורת. המבקר יבדוק אם הארגון עומד בקריטריונים של ISO או אם קיימים פערים. זה ידוע בתור ביקורת שלב 1.
לאחר הביקורת, לארגון יהיה זמן לטפל בכל הפערים ב:
לאחר מספר שבועות המבקר יחזור לביקורת שלב 2. זוהי ביקורת ארוכה ומעמיקה בהרבה משלב 1. ביקורת שלב 2 שלך תוודא שה-ISMS אכן עובד כפי שתוכנן ויושם.
הענקת הסמכת ISO באה בעקבות ביקור זה בתנאי שה-ISMS עומד בכל הקריטריונים. המבקר יבקר בארגון מעת לעת (בדרך כלל מדי שנה) כדי לאשר את המשך הציות שלך. כדי לשמור על סטטוס מוסמך ISO תצטרך לעבור את ביקורת התחזוקה השנתית שלך.
ISO/IEC 27018 מרחיב את ההנחיות ליישום בקרות אבטחה ב-ISO/IEC 27002. בקרות אלה מחלקות את האחריות להגנה על נתונים ל:
בקרות האבטחה המורחבות כוללות:
תזדקק גם לסט נוסף של בקרות אבטחה. אלה עולים בקנה אחד עם עקרונות הפרטיות המפורטים במסגרת הפרטיות ISO/IEC 29100. ISO/IEC 27018 מאפשר לספקי ענן להוכיח שהם יודעים להגן על PII של לקוחותיהם.
אם הארגון שלך מעבד PII, שקול ליישם את ISO 27018 לצד ISO 27001 ISMS. אם אתה עדיין סקרן לגבי הפרטים של מה שנכלל בדוח, הנה הרשימה המלאה של הסעיפים של ISO 27018:
שים לב שהרשימה למטה היא נוספת ל בקרות המוגדרות ב-ISO 27001.
סעיף 1: היקף
סעיף 2: הפניות נורמטיביות
סעיף 3: מונחים והגדרות
סעיף 4: סקירה כללית
4.1: מבנה מסמך זה
4.2: קטגוריות בקרה
סעיף 5: מדיניות אבטחת מידע
5.1: כיוון ניהול לאבטחת מידע
סעיף 6: ארגון אבטחת מידע
6.1: ארגון פנימי
6.2: מכשירים ניידים ועבודה מרחוק
סעיף 7: אבטחת משאבי אנוש
7.1: לפני העבודה
7.2: במהלך העסקה
7.3: סיום ושינוי העסקה
סעיף 8: ניהול נכסים
סעיף 9: בקרת גישה
9.1: דרישות עסקיות של בקרת גישה
9.2: ניהול גישת משתמשים
9.3: אחריות המשתמש
9.4: בקרת גישה למערכת ואפליקציות
סעיף 10: קריפטוגרפיה
10.1: בקרות קריפטוגרפיות
סעיף 11: ביטחון פיזי וסביבתי
11.1: אזורים מאובטחים
11.2: ציוד
סעיף 12: אבטחת תפעול
12.1: נהלים ואחריות תפעוליים
12.2: הגנה מפני תוכנות זדוניות
12.3: גיבוי
12.4: רישום וניטור
12.5: שליטה בתוכנה תפעולית
12.6: ניהול פגיעות טכנית
12.7: שיקולי ביקורת מערכות מידע
סעיף 13: אבטחת תקשורת
13.1: ניהול אבטחת רשת
13.2: העברת מידע
סעיף 14: רכישת מערכות, פיתוח ותחזוקה
סעיף 15: יחסי ספקים
סעיף 16: ניהול אירועי אבטחת מידע
16.1: ניהול אירועי אבטחת מידע ושיפורים
סעיף 17: היבטי אבטחת מידע של ניהול המשכיות עסקית
סעיף 18: ציות
18.1: עמידה בדרישות משפטיות וחוזיות
18.2: סקירות אבטחת מידע
שים לב שהרשימה שלהלן מתווספת לפקדים המוגדרים ב-ISO 27001. נספח א' ערכת בקרה מורחבת של מעבד PII בענן ציבורי להגנת PII.
1. כללי
2: הסכמה ובחירה
3: לגיטימציה ומפרט מטרה
4: הגבלת גבייה
5: מזעור נתונים
6: הגבלת שימוש, שמירה וחשיפה
7: דיוק ואיכות
8: פתיחות, שקיפות ותשומת לב
9: השתתפות וגישה אישית
10: אחריות
11: אבטחת מידע
12: תאימות לפרטיות
100% מהמשתמשים שלנו משיגים אישור ISO 27001 בפעם הראשונה
