ISO 27018 is de praktijkcode voor de bescherming van persoonlijk identificeerbare informatie (PII) in openbare clouds. We gaan onderzoeken wat het betekent voor zowel aanbieders als klanten.
ISO/IEC 27018 is de internationale norm voor het beschermen van persoonlijke informatie in cloudopslag. De term voor de persoonlijke gegevens die eronder vallen is Persoonlijk identificeerbare informatie of PII. ISO 27018 is een praktijkcode voor aanbieders van openbare clouddiensten.
ISO 27018 doet twee dingen:
Deze extra controles vallen niet onder ISO 27002.
ISO 27018 geeft generieke, overeengekomen richtlijnen voor informatiebeveiligingscategorieën. De standaard is gericht op aanbieders van openbare clouddiensten die optreden als PII-verwerkers.
De belangrijkste doelstellingen zijn:
Volgens het Data Breach Report 2020 van IBM Security is bij 80% van alle datalekken sprake van PII. Het beveiligen van PII omvat een reeks maatregelen, waarvan u sommige al kent. Deze omvatten:
Het Britse Information Commissioner's Office (ICO) geeft volledige richtlijnen over wat telt als PII. Je kunt het lezen hier.
Een PII-verwerker is elke aanbieder van openbare clouddiensten die persoonsgegevens verwerkt voor hun klanten. Houd er rekening mee dat de oorspronkelijke klant mogelijk de PII-beheerder is, waardoor er afzonderlijke wettelijke verplichtingen voor hem ontstaan. ISO/IEC 27018 dekt geen van deze extra eisen.
ISMS.online maakt het opzetten en beheren van uw ISMS zo eenvoudig mogelijk.
Er is geen enkel bedrijf te bedenken waarvan de service ISMS.online kan evenaren.
Kunt u identificeren wie iemand is op basis van de gegevens die zij u geven? Als dat mogelijk is, is dat persoonlijk identificeerbare informatie. PII is per definitie informatie die kan worden teruggekoppeld om een individu te identificeren. PII kan het volgende omvatten:
Er zijn veel voordelen verbonden aan het verwerken van PII via de cloud. Het gebruik van cloudopslag voor PII verlaagt de operationele kosten in vergelijking met het opslaan van gegevens op locatie. Het maakt informatie ook toegankelijker als u dat bent werken vanop afstand. Maar gegevensopslag in de cloud kan riskant zijn. U moet erop kunnen vertrouwen dat een cloudprovider het beste heeft controles zijn ingesteld om uw informatie veilig te houden. Als u een cloudprovider bent, moet u uw klanten laten zien dat u over uitstekende beveiligingsmaatregelen beschikt.
ISO 27018 classificeert clouddienstverleners als verwerkers wanneer zij de persoonsgegevens van uw organisatie verwerken. Uw organisatie blijft geclassificeerd als de gegevensbeheerder zelfs als een cloudserviceprovider uw gegevens voor u verwerkt. Zowel verwerkers als gegevensbeheerders hebben wettelijke verantwoordelijkheden voor de bescherming van PII.
De De omgeving voor het beheer van informatiebeveiliging evolueert snel. De technische norm ISO/IEC 27001 heeft geen betrekking op PII. Daarom creëerde ISO in 2014 een nieuwe, aanvullende standaard, ISO 27018. De nieuwe standaard komt tegemoet aan de zorgen over bedrijven die persoonlijke gegevens verwerken bij cloudserviceproviders. ISO/IEC 27018:2020 is de derde versie van het document uit 2014.
ISO/IEC 27018:2020 is de nieuwste versie van ISO 27018. De verschillen tussen ISO 27018:2019 en ISO 27018:2020 zijn hoofdzakelijk van technische aard. Voor alle praktische doeleinden kunt u de versies 2019 en 2020 van ISO 27018 als identiek beschouwen.
De 2019-versie van ISO 27018 bevatte slechts kleine herzieningen ten opzichte van de 2014-versie. De nieuwe versie van ISO 27018:
Het definiëren van ISO 27018 als een document en niet als een standaard is technisch nauwkeuriger, omdat de overeengekomen standaard voor een Informatiebeveiligingsbeheersysteem (ISMS) isISO27001.
ISO heeft ISO/IEC 27018:2014 ingetrokken.
Ik zou ISMS.online zeker aanbevelen, het maakt het opzetten en beheren van uw ISMS zo eenvoudig mogelijk.
ISO 27018 is een van de ISO 27000-familie van normen voor informatiebeveiligingsbeheer. De ISO 27000-normen bieden een internationaal erkend infosec-framework.
ISO 27001 beschrijft de technische vereisten voor het opzetten van een ISMS. Naleving van ISO 27001 is de basisnorm voor gegevensbeveiliging. ISO 27018 voegt richtlijnen voor gegevensbescherming van cloudservices toe aan ISO 27001.
In plaats van te kiezen tussen ISO 27001 of 27018, kunt u overwegen deze samen te implementeren. ISO 27001 is het beste raamwerk voor het creëren van een ISMS dat zich richt op risicobeheer. ISO 27018 voegt richtlijnen toe voor het realiseren van robuuste beveiliging in de cloud.
ISO 27701 heeft betrekking op het beheer van privacy-informatie, waarin vereisten en richtlijnen worden uiteengezet voor de implementatie van een privacy-informatiebeheersysteem (PIMS). De standaard biedt ook richtlijnen voor PII-beheerders en -verwerkers, inclusief implementatieadvies afhankelijk van:
ISO 27701 komt overeen met ISO 27018 en de EU AVG-wetgeving. Het is een uitbreiding van ISO 27001, de basisnorm voor gegevensbeveiliging.
Als uw organisatie in de Europese Unie actief is, moet u hieraan voldoen en er dus rekening mee houden GDPR (Algemene verordening gegevensbescherming). Het is een EU-wet (en VK, post-Brexit) die de verwerking van persoonlijke gegevens regelt. GDPR is niet alleen van toepassing op EU-landen. De wet is ook van toepassing op elke organisatie die goederen of diensten levert aan de EU.
AVG en ISO 27018 hebben enigszins verschillende functies. De AVG bevat voorschriften voor gegevensprivacy en -bescherming. ISO 27018 biedt u een praktisch raamwerk voor het beheren van gegevensbeschermings- en informatiebeveiligingsrisico's. Het implementeren van ISO 27001, in combinatie met 27018, geeft u een solide basis voor naleving van de AVG.
ISO 27018 is gekoppeld aan ISO/IEC 29100. ISO 29100 biedt:
ISO 29100 linkt naar ISO 27018 door:
ISO 29100 legt ook de belangrijkste privacyprincipes en terminologie vast.
Boek een hands-on sessie op maat op basis van uw behoeften en doelen.
Cyberbeveiliging is een groot probleem voor het ondernemersvertrouwen. Op de huidige mondiale markt is het beschermen van klantgegevens nog nooit zo belangrijk geweest. ISO 27018 creëert een robuust mondiaal compliancekader.
ISO 27018 is vooral nuttig voor klanten van cloudservices. Het ondersteunt audits voor de naleving van interne verantwoordelijkheden. Dit is vooral handig als de gegevensverwerker een externe cloudprovider is.
Andere voordelen van ISO 27018 zijn dat het:
Deze standaard is relevant voor veel typen organisaties. Of je nu:
als je PII-gegevens verwerken via cloud computing is ISO 27018 iets voor jou.
Als u PII uitbesteedt aan een ander bedrijf, zal due diligence uitwijzen of zij werken met ISO/IEC 27018. Elke dienstverlener die de cloud of PII gebruikt, moet ISO 27018 overwegen.
De meeste bekende cloudserviceproviders zijn dat wel veiligheid ontwikkelen of hebben ontwikkeld maatregelen om PII te beschermen. Belangrijke spelers in de sector die al een ISO/IEC 27018-conform beleid hebben, zijn onder meer:
Er zijn drie gebieden waar u op moet letten als u overweegt ISO 27018 te implementeren:
Merk op dat deze gebieden ook onder ISO 27001 vallen. ISO 27018 richt zich dieper op PII en cloud computing-diensten.
Wanneer u ISO 27018 adopteert, is het een goede gewoonte om te beginnen met het begrijpen van uw uitgangspunt. Het is belangrijk om voort te bouwen op wat er al is. U moet ook eventuele hiaten identificeren die het risico op een datalek in de cloud kunnen vergroten. Een rigoureus zelfevaluatieproces zal deze doelstellingen bereiken.
Nadat u uw startpunt heeft bepaald, investeert u in interne communicatie. Breng uw collega's op de hoogte van geplande wijzigingen en betrek hen bij discussies over waarom deze nodig zijn. Dat zal je helpen:
ISO 27018 is een praktijkcode, geen standaard. ISO 27018-certificering is over het algemeen opgenomen in het ISO 27001-auditproces, als het is opgenomen als aanvulling op het ISMS.
Om certificering voor een ISO-norm te verkrijgen, zal een competente auditor een audit uitvoeren. De auditor controleert of de organisatie voldoet aan de ISO-criteria en of er lacunes zijn. Dit staat bekend als een fase 1-audit.
Na de audit heeft de organisatie de tijd om eventuele hiaten aan te pakken in:
Na enkele weken komt de auditor terug voor de fase 2-audit. Dit is een veel langere en diepgaandere audit dan fase 1. Uw fase 2-audit zorgt ervoor dat het ISMS daadwerkelijk werkt zoals ontworpen en geïmplementeerd.
Na dit bezoek volgt de toekenning van de ISO-certificering, op voorwaarde dat het ISMS aan alle criteria voldoet. De auditor zal de organisatie periodiek (meestal jaarlijks) bezoeken om te bevestigen dat u zich nog steeds aan de regels houdt. Om uw ISO-gecertificeerde status te behouden, moet u uw jaarlijkse onderhoudsaudits doorstaan.
ISO/IEC 27018 breidt de richtlijnen voor het implementeren van beveiligingscontroles in ISO/IEC 27002 uit. Deze controles verdelen de verantwoordelijkheden voor gegevensbescherming in:
De uitgebreide beveiligingscontroles omvatten:
Je hebt ook een extra set beveiligingscontroles nodig. Deze komen overeen met de privacyprincipes die zijn uiteengezet in het ISO/IEC 29100-privacyframework. Met ISO/IEC 27018 kunnen cloudproviders bewijzen dat ze weten hoe ze de PII van hun klanten moeten beschermen.
Als uw organisatie PII verwerkt, overweeg dan om ISO 27018 naast een ISO 27001 ISMS te implementeren. Als u nog steeds nieuwsgierig bent naar de details van wat er in het rapport staat, vindt u hier de volledige lijst met ISO 27018-clausules:
Download uw gratis gids
om uw Infosec te stroomlijnen
Houd er rekening mee dat de onderstaande lijst een aanvulling is op controles gedefinieerd in ISO 27001.
Artikel 1: Toepassingsgebied
Hoofdstuk 2: Normatieve referenties
Artikel 3: Termen en definities
Artikel 4: Overzicht
4.1: Structuur van dit document
4.2: Controlecategorieën
Artikel 5: Informatiebeveiligingsbeleid
5.1: Managementrichting informatiebeveiliging
Artikel 6: Organisatie van informatiebeveiliging
6.1: Interne organisatie
6.2: Mobiele apparaten en telewerken
Artikel 7: Beveiliging van menselijke hulpbronnen
7.1: Vóór indiensttreding
7.2: Tijdens dienstverband
7.3: Beëindiging en verandering van dienstverband
Artikel 8: Vermogensbeheer
Artikel 9: Toegangscontrole
9.1: Zakelijke vereisten voor toegangscontrole
9.2: Beheer van gebruikerstoegang
9.3: Verantwoordelijkheden van de gebruiker
9.4: Systeem- en applicatietoegangscontrole
Artikel 10: Cryptografie
10.1: Cryptografische controles
Artikel 11: Fysieke en ecologische veiligheid
11.1: Beveiligde gebieden
11.2: Uitrusting
Artikel 12: Bedrijfsveiligheid
12.1: Operationele procedures en verantwoordelijkheden
12.2: Bescherming tegen malware
12.3: Back-up
12.4: Logging en monitoring
12.5: Beheersing van operationele software
12.6: Beheer van technische kwetsbaarheden
12.7: Overwegingen bij audits van informatiesystemen
Artikel 13: Communicatiebeveiliging
13.1: Netwerkbeveiligingsbeheer
13.2: Informatieoverdracht
Artikel 14: Systeemaankoop, ontwikkeling en onderhoud
Artikel 15: Relaties met leveranciers
Artikel 16: Beheer van informatiebeveiligingsincidenten
16.1: Beheer van informatiebeveiligingsincidenten en verbeteringen
Artikel 17: Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
Artikel 18: Naleving
18.1: Naleving van wettelijke en contractuele vereisten
18.2: Informatiebeveiligingsbeoordelingen
Houd er rekening mee dat de onderstaande lijst een aanvulling is op de controles die zijn gedefinieerd in ISO 27001. Bijlage A Publieke cloud PII-processor uitgebreide controleset voor PII-bescherming.
1: Algemeen
2: Toestemming en keuze
3: Doellegitimiteit en specificatie
4: Inzamelbeperking
5: Dataminimalisatie
6: Beperking van gebruik, bewaring en openbaarmaking
7: Nauwkeurigheid en kwaliteit
8: Openheid, transparantie en kennisgeving
9: Individuele deelname en toegang
10: Verantwoording
11: Informatiebeveiliging
12: Naleving van de privacy
100% van onze gebruikers behaalt de eerste keer de ISO 27001-certificering