Österreich
Secure Your Business
 

ISO 27018 – SCHUTZ FÜR PERSONENDATEN

 

Der internationale Standard für Datenschutz in der Cloud setzt inhaltlich direkt
auf Informationssicherheit nach ISO 27001 auf.

 


Dietmar Schlar_RRZ_neu

„Ein ISO-Standard hat immer die
größte Aussagekraft auf dem Markt.
Als ISO-27001-zertifiziertes Rechenzentrum
ist für uns eine Cloud-Zertifizierung nach
ISO 27018 das logische Add-on.“

 

Dipl.-Ing. Dietmar Schlar, Raiffeisen Informatik Center Steiermark GmbH



Der internationale Standard für „Datenschutz in der Cloud“ zielt darauf ab, höchstmöglichen und vertraglich abgesicherten Schutz für verwaltete Personendaten von Kunden zu gewährleisten sowie gleichzeitig die Risiken von Vertragsbrüchen zu minimieren: Die „ISO/IEC 27018:2014 — Information technology — Security techniques — Code of practice for protection of Personally Identifiable Information (PII) in public clouds acting as PII processors“ bezieht sich inhaltlich direkt auf die Zertifizierungsnorm ISO/IEC 27001 für Informationssicherheit sowie auf den dazugehörigen Leitfaden für Informationssicherheitsmaßnahmen ISO/IEC 27002. ISO 27018 spezifiziert diese Sicherheitsmaßnahmen (Controls) derart, dass die besonderen Anforderungen zum Schutz personenbezogener Daten im Rahmen von Public Cloud Services in ein bestehendes Informationssicherheits-Managementsystem integriert werden können. Die Inhalte der ISO 27002 werden in der ISO 27018 um die relevanten Cloud-Aspekte erweitert. Die Hauptkapitel der ISO 27018 sind somit auf den ersten Blick deckungsgleich mit jenen der ISO 27002:

 

Die 14 Hauptkapitel der ISO/IEC 27018 

  • Security Policies
  • Organisation of information security
  • Human resource security
  • Asset management
  • Access control
  • Cryptography
  • Physical & environmental securitymark orange_istockphoto nmcandre
  • Operations security
  • Communications security
  • System acquisition, development and maintainance
  • Supplier relationships
  • IS incident management
  • IS aspects of business continuity management
  • Compliance

 

Die ISO 27018 erfüllt mit ihren Anforderungen große Teile der geplanten EU-Datenschutzgrundverordnung, ebenso wie große Teile des österreichischen und des deutschen Datenschutzgesetzes. Darüber hinausgehend definieren Organisationen im Rahmen eines Zertifizierungsprojektes nach ISO 27018, welche nationalen Gesetzesanforderungen für ihre Services in einer Public Cloud sowie für ihre Kunden und Geschäftspartner relevant sind. Vokabular und Inhalte der ISO/IEC 27018 orientieren sich an ISO/IEC 17788 “Cloud computing - overview and vocabulary” sowie an ISO/IEC 29100 “Privacy framework”.

 

Zentrale Anforderungen der ISO 27018 an zertifizierte Cloud-Anbieter:

  • Personenbezogene Daten dürfen ausschließlich in Übereinstimmung mit den Vorgaben der Kunden verarbeitet und nicht für eigene Zwecke genutzt werden, außer wenn eine ausdrückliche Einwilligung des Kunden vorliegt.

  • Es sind Prozesse zu definieren, welche die Rückgabe, Übermittlung, Übertragung und Vernichtung von personenbezogenen Daten festlegen.

  • Vor Vertragsschluss sind alle relevanten Subauftragsverhältnisse sowie alle Länder, in denen eine Datenverarbeitung stattfindet, offen zu legen.

  • Jede Art von Verletzung der Datensicherheit ist zu dokumentieren – inklusive der gesetzten Schritte zur Problemlösung und der möglichen Folgen.

  • Sicherheitsverletzungen sind dem Kunden unverzüglich derart zu melden, dass dieser seiner eigenen Anzeigepflicht nachkommen kann.

  • Kunden sind bezüglich ihrer Wahrnehmung von Betroffenenrechten zu unterstützen: Den Cloud-Kunden sind Tools zu offerieren, mit denen die Endnutzer Zugang zu ihren persönlichen Daten erhalten, um diese ändern, löschen und korrigieren zu können.

  • Die Weitergabe von Daten an Strafverfolgungsbehörden darf nur bei vorliegender rechtlicher Verpflichtung erfolgen. Der betroffene Kunde ist vor einer Weitergabe davon in Kenntnis zu setzen, außer wenn diese Information rechtlich untersagt ist.

  • Die angebotenen Cloud-Dienste sind in regelmäßigen Intervallen ebenso wie auch bei größeren Systemumstellungen durch unabhängige Dritte zu überprüfen.

 

 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB