Definition und Zweck

ISO/IEC 27018 legt Richtlinien basierend auf ISO/IEC 27002 sowie zusätzliche Kontrollen und Anleitungen für Anbieter öffentlicher Cloud-Dienste fest, um personenbezogene Daten (PII) zu schützen.

ISO/IEC 27018 ist für zwei spezifische Anwendungsfälle ausgelegt. Erstens kann es als Referenz für Organisationen verwendet werden, die ein Informationssicherheits-Managementsystem für Cloud-Computing auf der Grundlage von ISO/IEC 27001 implementieren und spezifisch PII-Schutzkontrollen auswählen müssen. Organisationen, die ISO/IEC 27001 implementieren, verwenden ISO/IEC 27002-Kontrollen zum Schutz ihrer eigenen Informationswerte. Sie benötigen jedoch PII-Schutzkontrollen, um die Informationswerte zu schützen, die ihnen ihre Kunden anvertraut haben.

Zweitens kann ISO/IEC 27018 als Leitfaden für PII-Datenverarbeiter in der öffentlichen Cloud verwendet werden, um allgemein akzeptierte PII-Schutzkontrollen umzusetzen.

Gremien

ISO/IEC 27018 wird von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) entwickelt und gepflegt.

Zuletzt aktualisiert

ISO/IEC 27018 wurde zuletzt im Jahr 2019 aktualisiert.

Geltungsbereich

ISO/IEC 27018 gilt für alle Arten und Größen von Organisationen, die Informationsverarbeitungsdienste als PII-Verarbeiter über Cloud-Computing-Verträge für andere Organisationen bereitstellen. Dies schließt öffentliche und private Unternehmen, staatliche Einrichtungen und gemeinnützige Organisationen ein.

Die Richtlinien in diesem Dokument können auch für Organisationen relevant sein, die als PII-Verantwortliche fungieren, jedoch unterliegen sie zusätzlichen Rechtsvorschriften, Vorschriften und Verpflichtungen zum Schutz persönlicher Daten.

Kontrollen und Anforderungen

ISO/IEC 27018 skizziert spezifische Kontrollen und Anforderungen zum Schutz von PII in öffentlichen Cloud-Umgebungen. Zu den wichtigsten Anforderungen gehören:

• Ausdrückliche Datenverarbeitungs- und Handhabungsbedingungen in Cloud-Service-Vereinbarungen.
• Einschränkungen, wie PII verarbeitet und gespeichert werden kann.
• Transparenz in Datenverarbeitungsaktivitäten.
• Datenportabilitäts- und Löschanforderungen.
• Berichterstattung und Kommunikation bei Vorfällen.

Bitte beachten Sie die offizielle ISO 27018 Veröffentlichung für eine detaillierte Liste der Kontrollen und Anforderungen.

Audittyp, Häufigkeit und Dauer

Audits for ISO/IEC 27018 compliance can be performed as third-party audits or internal assessments. The frequency of audits may vary depending on the organization's risk assessment, contractual agreements, and regulatory requirements. Typically, organizations conduct annual audits.

The duration of an ISO/IEC 27018 audit can vary depending on the scope and complexity of the cloud environment. It can range from a few days to several weeks, with the auditors examining the organization's cloud practices, contractual agreements, and adherence to the standard's controls.