دسته ها

آخرین مطالب

مطالب ISO 27000

استاندارد ایزو

اطلاعات کاربردی

استاندارد ایزو 27018

استاندارد ایزو 27018, شرح در تصویر

استاندارد ایزو 27018 چیست؟

استاندارد ایزو 27018 کد عملی برای حفاظت از اطلاعات شناسایی شخصی (PII) در ابرهای عمومی است. ما قصد داریم معنی آن را برای ارائه دهندگان و مشتریان بررسی کنیم.

چرا ایزو 27018 مهم است؟

ایزو 27018 استاندارد بین المللی برای حفاظت از اطلاعات شخصی در فضای ذخیره سازی ابری است. اصطلاح داده های شخصی که پوشش می دهد، اطلاعات شناسایی شخصی یا PII است. ISO 27018 یک کد عملی برای ارائه دهندگان خدمات ابر عمومی است.

استاندارد ایزو 27018 دو کار را انجام می دهد:

  1. برای کنترل های منتشر شده در ISO/IEC 27001 راهنمایی های اجرایی مفید بیشتری ارائه می دهد (افزودن به ISO 27002)
  2. راهنمایی اضافی در مورد الزامات حفاظت PII برای ابر عمومی ارائه می کند

این کنترل های اضافی در ISO 27002 پوشش داده نمی شوند.

blank

هدف از انتشار استاندارد ISO 27018 چیست؟

استاندارد ایزو 27018  راهنمایی های توافق شده عمومی در مورد دسته های امنیت اطلاعات را ارائه می دهد. این استاندارد ارائه دهندگان خدمات ابری عمومی را هدف قرار می دهد که به عنوان پردازنده های PII عمل می کنند.

اهداف کلیدی آن عبارتند از:

  • به پردازشگر Cloud PII عمومی کمک می کند تا به تعهدات خود عمل کند، از جمله زمانی که آنها تحت قرارداد ارائه خدمات ابر عمومی هستند.
  • شفافیت را فعال می کند تا مشتریان بالقوه خدمات ابری بتوانند به خدمات پردازش PII مبتنی بر ابر ایمن و مدیریت شده دسترسی داشته باشند.
  • به خدمات و کاربران ابری کمک می کند تا توافقات قراردادی برای پردازش PII ایجاد کنند.
  • به مشتریان خدمات ابری یک روش حسابرسی و انطباق می دهد.

چرا ایمن سازی اطلاعات هویتی شخصی مهم است؟

با توجه به گزارش نقض داده توسط تیم امنیا اطلاعات BIM در سال 2020 میلادی 80% از کل نقض داده ها شامل PII است. ایمن کردن PII طیف وسیعی از اقدامات را در بر می گیرد که با برخی از آنها قبلاً آشنا خواهید بود. این شامل:

  • به حداقل رساندن جمع آوری و نگهداری داده ها.
  • اتخاذ برنامه ایمن برای تخریب داده ها.
  • رمزگذاری داده ها برای ذخیره سازی و انتقال.
  • محدود کردن دسترسی به داده ها.
  • آموزش کارکنان.
  • رعایت مقررات مربوطه.
  • اجرای استراتژی حاکمیت اطلاعات.

  پردازنده PII هر ارائه دهنده خدمات ابر عمومی است که داده های شخصی مشتریان خود را پردازش می کند. به یاد داشته باشید که مشتری اصلی ممکن است کنترل کننده PII باشد و برای آنها تعهدات قانونی جداگانه ایجاد کند. ISO/IEC 27018 هیچ یک از این الزامات اضافی را پوشش نمی دهد.

اطلاعات قابل شناسایی شخصی چیست؟

آیا می‌توانید از روی داده‌ هایی که به شما می‌دهند شناسایی کنید که چه کسی است؟ اگر می توانید، این اطلاعات شخصی قابل شناسایی است. طبق تعریف، PII اطلاعاتی است که می‌تواند برای شناسایی یک فرد پیوند برقرار کند. PII می تواند شامل موارد زیر باشد:

  • نام یک شخص
  • تاریخ تولد آنها
  • جایی که زندگی می کنند
  • آدرس IP آنها
  • اطلاعات دقیق بانکی
  • مدارک پزشکی
  • و خیلی بیشتر
اخذ گواهینامه ایزو 3834, شرح در تصویر

تاریخچه استاندارد ایزو 27018 چیست؟

محیط مدیریت امنیت اطلاعات به سرعت در حال تحول است. استاندارد فنی ISO/IEC 27001 به PII نمی پردازد. بنابراین ISO یک استاندارد جدید و تکمیلی در سال 2014 ایجاد کرد به عنوان ISO/IEC 27018:2020. استاندارد جدید نگرانی ‌های مربوط به شرکت‌ هایی را که داده ‌های شخصی را در ارائه ‌دهندگان خدمات ابری پردازش می‌کنند، برطرف می‌کند. استاندارد ایزو 27018 تا کنون سه بار توسط سازمان ایزو ویرایش شده که نسخه 2020 آخرین ویرایش آن است.  

تغییرات در استاندارد ISO 27018 چیست؟

استاندارد ISO 27018 ویرایش 2020 آخرین نسخه ISO 27018 است. تفاوت بین ISO 27018:2019 و ISO 27018:2020 اساساً فنی است. برای تمام اهداف عملی، می توانید نسخه های 2019 و 2020 ISO 27018 را یکسان در نظر بگیرید.

استاندارد ایزو 27018 ویرایش 2019  فقط شامل بازبینی های جزئی از نسخه 2014 بود. نسخه جدید استاندارد ایزو 27018 شامل:

  • یک بخش پس زمینه کلی اضافه شد.
  • آن را به عنوان یک سند و نه یک استاندارد بین المللی تعریف کرد.

تعریف ایزو 27018 به عنوان یک سند و نه استاندارد از نظر فنی دقیق تر است، زیرا استاندارد مورد توافق برای سیستم مدیریت امنیت اطلاعات (ISMS) ISO 27001 است.

ایزو 27018 چه ارتباطی با ایزو 27001 دارد؟

ISO 27001 الزامات فنی برای ایجاد یک ISMS را تعیین می کند. مطابقت با ISO 27001 استاندارد پایه برای امنیت داده ها است. ISO 27018 راهنمایی در مورد حفاظت از داده های سرویس ابری را به ISO 27001 اضافه می کند.

به جای انتخاب بین ISO 27001 یا 27018، به پیاده سازی آنها با هم فکر کنید. ISO 27001 بهترین چارچوب برای ایجاد یک ISMS است که بر مدیریت ریسک تمرکز دارد. ISO 27018 راهنمایی برای دستیابی به امنیت قوی در فضای ابری اضافه می کند.

شناسایی خطر, ارزیابی ریسک, کنترل ریسک

ایزو 27018 چه ارتباطی با ISO 27701 دارد؟

ISO 27701 مدیریت اطلاعات حریم خصوصی، تعیین الزامات و راهنمایی برای پیاده سازی سیستم مدیریت اطلاعات حریم خصوصی (PIMS) را پوشش می دهد. این استاندارد همچنین راهنمایی هایی برای کنترل کننده ها و پردازنده های PII می دهد، از جمله توصیه های اجرایی بسته به موارد زیر:

  • موقعیت تو
  • هرگونه قانون یا مقررات ملی

ISO 27701 به ISO 27018 و قانون GDPR اتحادیه اروپا نگاشت. این یک توسعه استاندارد ISO 27001، استاندارد پایه برای امنیت داده ها است.

ایزو 27018چه ارتباطی با GDPR دارد؟

اگر سازمان شما در اتحادیه اروپا کار می کند، باید از GDPR (مقررات عمومی حفاظت از داده ها) پیروی کنید و بنابراین باید از آن آگاه باشید. این یک قانون اتحادیه اروپا (و بریتانیا، پس از برگزیت) است که پردازش داده های شخصی را کنترل می کند. GDPR فقط برای کشورهای اتحادیه اروپا اعمال نمی شود. این قانون همچنین در مورد هر سازمانی که کالا یا خدماتی را در اتحادیه اروپا ارائه می دهد اعمال می شود.

GDPR و ISO 27018 عملکردهای کمی متفاوت دارند. GDPR مقررات حفظ حریم خصوصی و حفاظت از داده ها را تعیین می کند. ISO 27018 یک چارچوب عملی برای مدیریت حفاظت از داده ها و خطرات امنیت اطلاعات به شما می دهد. پیاده سازی ISO 27001، در ارتباط با 27018، پایه ای محکم برای انطباق با GDPR به شما می دهد.

مزایای ISO 27018 چیست؟

امنیت سایبری یک مسئله بزرگ برای اطمینان کسب و کار است. در بازار جهانی امروز، حفاظت از داده ‌های مشتری هرگز مهم ‌تر از این نبوده است. ISO 27018 یک چارچوب انطباق جهانی قوی ایجاد می کند.

ISO 27018 به ویژه برای مشتریان خدمات ابری مفید است. از ممیزی برای انطباق در برابر مسئولیت های داخلی پشتیبانی می کند. این به ویژه زمانی مفید است که پردازشگر داده یک ارائه دهنده ابر شخص ثالث باشد.

از دیگر مزایای ISO 27018 این است که:

  • خطرات نقض داده ها در فضای ابری و جریمه های نظارتی مرتبط را کاهش می دهد.
  • باعث ایجاد اعتماد در سازمان شما می شود.
  • مشتریان و سازمان های ذینفع می دانند که شما از داده های شخصی آنها محافظت می کنید.
  • از اعتبار برند شما محافظت می کند.
از بروز مجدد مشکلات جلوگیری می کند

چه سازمان هایی می توانند اقدام به اخذ گواهینامه ایزو 27018 نمایند؟

این استاندارد برای بسیاری از انواع سازمان ها مرتبط است. این که آیا شما:

  • بخش خصوصی، دولتی یا غیر انتفاعی
  • یک شرکت بزرگ، متوسط یا کوچک

اگر داده های PII را از طریق محاسبات ابری پردازش می کنید، ISO 27018 برای شما مناسب است.

اگر PII را با شرکت دیگری منعقد کنید، بررسی ‌های لازم نشان می‌دهد که آیا آنها با ISO/IEC 27018 کار می‌کنند یا خیر. هر ارائه‌ دهنده خدماتی که از ابر یا PII استفاده می‌کند باید ISO 27018 را در نظر بگیرد.

اکثر ارائه دهندگان خدمات ابری معروف در حال توسعه یا توسعه اقدامات امنیتی برای محافظت از PII هستند. بازیگران اصلی صنعت که قبلاً دارای سیاست های مطابق با ISO/IEC 27018 هستند عبارتند از:

  • خدمات وب آمازون
  • دراپ باکس
  • Google Apps for Work
  • IBM Softlayer
  • مایکروسافت آژور

آیا می توانید گواهینامه ایزو 27018 دریافت کنید؟

ISO 27018 یک کد عملی است، نه یک استاندارد. گواهینامه ISO 27018 به طور کلی در فرآیند ممیزی ISO 27001 گنجانده شده است، اگر به عنوان یک افزودنی برای ISMS گنجانده شود.

برای دریافت گواهینامه استاندارد ISO، یک حسابرس ذیصلاح ممیزی را انجام می دهد. حسابرس بررسی می کند که آیا سازمان معیارهای ISO را برآورده می کند یا شکاف هایی وجود دارد. این به عنوان ممیزی مرحله 1 شناخته می شود.

پس از ممیزی، سازمان زمان خواهد داشت تا هرگونه شکاف در موارد زیر را برطرف کند:

  • فرآیندها
  • رویه ها
  • پیاده سازی

پس از چند هفته، حسابرس برای ممیزی مرحله 2 بازخواهد گشت. این ممیزی بسیار طولانی ‌تر و عمیق ‌تر از مرحله 1 است. ممیزی مرحله 2 شما اطمینان می‌دهد که ISMS واقعاً همانطور که طراحی و اجرا شده است کار می‌کند.

اخذ گواهینامه ایزو به دنبال این بازدید انجام می شود که ISMS تمام معیارها را برآورده می کند. حسابرس به صورت دوره ای (معمولاً سالانه) از سازمان بازدید می کند تا ادامه انطباق شما را تأیید کند. برای حفظ وضعیت گواهینامه ISO خود، باید ممیزی های نگهداری سالانه خود را بگذرانید.

الزامات ISO/IEC 27018:2020 چیست؟

ISO/IEC 27018 راهنمای اجرای کنترل‌ های امنیتی در ISO/IEC 27002 را گسترش می‌دهد. این کنترل ‌ها مسئولیت ‌های حفاظت از داده ها را به موارد زیر تقسیم می‌کنند:

  • مسئولیت های شما به عنوان مشتری سرویس ابری و کنترل کننده داده، حتی اگر ذخیره سازی داده ها را برون سپاری کنید.
  • مسئولیت های ارائه دهنده خدمات ابری شما به عنوان پردازشگر داده.

کنترل های امنیتی گسترده عبارتند از:

  • الزامات رمزگذاری PII در حین ذخیره سازی و انتقال.
  • یک برنامه حذف ایمن برای هر PII که دیگر مورد نیاز نیست.
  • یک قرارداد سرویس ابری که دلیل انجام پردازش PII را مشخص می کند.
  • تضمین های قوی ارائه دهنده خدمات ابری برای حاکمیت اطلاعات.

همچنین به مجموعه ای از کنترل های امنیتی اضافی نیاز دارید. اینها با اصول حفظ حریم خصوصی تعیین شده در چارچوب حریم خصوصی ISO/IEC 29100 همسو هستند. ISO/IEC 27018 به ارائه دهندگان ابر اجازه می دهد تا ثابت کنند که می دانند چگونه از PII مشتریان خود محافظت کنند.

اگر سازمان شما PII را پردازش می کند، پیاده سازی ISO 27018 را در کنار ISO 27001 ISMS در نظر بگیرید.

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Call Now Button