دسته ها
آخرین مطالب
مطالب ISO 27000
استاندارد ایزو
- اخذ گواهینامه ایزو 9001
- اخذ گواهینامه ایزو 14001
- اخذ گواهینامه ایزو 45001
- گواهینامه ایزو 22000
- گواهینامه ایزو 27000
- گواهینامه ایزو 20000
- اخذ گواهینامه ISO 22716
- گواهینامه صنایع نفت و گاز ISO 29001
- گواهینامه ISO 13485:2016
- گواهینامه IMS
- گواهینامه HSE
- گواهینامه ISO 50001
- گواهینامه ISO 3632
- گواهینامه ISO 26000
- گواهینامه ISO 31000
- گواهینامه ISO 10001
- گواهینامه ISO 10002
- گواهینامه ISO 10003
- گواهینامه ISO 10004
- گواهینامه ISO 10006
- گواهینامه ISO 21500
اطلاعات کاربردی
- گواهینامه پیمانکاران جهت حضور در مناقصه
- دریافت ایزو ارزان
- از کجا ایزو بگیریم اخذ ایزو معتبر
- IAF انجمن اعتبار دهنده بین المللی
- CB (سی بی) چیست
- شرکت صادر کننده ایزو مورد تایید NACI
- مدارک لازم جهت اخذ گواهینامه ایزو
- شرکت های صادر کننده ایزو
- شرکت های CB
- شرکت های ارائه دهنده ایزو
- شرکت های گواهی دهنده ایزو در ایران
- چرا استاندارد مهم است
- گواهینامه ایزو چیست
- چرا باید گواهینامه CE بگیریم
- چه گواهینامه ISO برای تخصص من ضروری است
- دریافت گواهینامه CE چقدر هزینه دارد
- دریافت گواهینامه ایزو چقدر هزینه دارد
- چرا باید گواهینامه ایزو بگیریم
- گواهینامه CE چیست
استاندارد ایزو 27018
استاندارد ایزو 27018 چیست؟
استاندارد ایزو 27018 کد عملی برای حفاظت از اطلاعات شناسایی شخصی (PII) در ابرهای عمومی است. ما قصد داریم معنی آن را برای ارائه دهندگان و مشتریان بررسی کنیم.
چرا ایزو 27018 مهم است؟
ایزو 27018 استاندارد بین المللی برای حفاظت از اطلاعات شخصی در فضای ذخیره سازی ابری است. اصطلاح داده های شخصی که پوشش می دهد، اطلاعات شناسایی شخصی یا PII است. ISO 27018 یک کد عملی برای ارائه دهندگان خدمات ابر عمومی است.
استاندارد ایزو 27018 دو کار را انجام می دهد:
- برای کنترل های منتشر شده در ISO/IEC 27001 راهنمایی های اجرایی مفید بیشتری ارائه می دهد (افزودن به ISO 27002)
- راهنمایی اضافی در مورد الزامات حفاظت PII برای ابر عمومی ارائه می کند
این کنترل های اضافی در ISO 27002 پوشش داده نمی شوند.
هدف از انتشار استاندارد ISO 27018 چیست؟
استاندارد ایزو 27018 راهنمایی های توافق شده عمومی در مورد دسته های امنیت اطلاعات را ارائه می دهد. این استاندارد ارائه دهندگان خدمات ابری عمومی را هدف قرار می دهد که به عنوان پردازنده های PII عمل می کنند.
اهداف کلیدی آن عبارتند از:
- به پردازشگر Cloud PII عمومی کمک می کند تا به تعهدات خود عمل کند، از جمله زمانی که آنها تحت قرارداد ارائه خدمات ابر عمومی هستند.
- شفافیت را فعال می کند تا مشتریان بالقوه خدمات ابری بتوانند به خدمات پردازش PII مبتنی بر ابر ایمن و مدیریت شده دسترسی داشته باشند.
- به خدمات و کاربران ابری کمک می کند تا توافقات قراردادی برای پردازش PII ایجاد کنند.
- به مشتریان خدمات ابری یک روش حسابرسی و انطباق می دهد.
چرا ایمن سازی اطلاعات هویتی شخصی مهم است؟
با توجه به گزارش نقض داده توسط تیم امنیا اطلاعات BIM در سال 2020 میلادی 80% از کل نقض داده ها شامل PII است. ایمن کردن PII طیف وسیعی از اقدامات را در بر می گیرد که با برخی از آنها قبلاً آشنا خواهید بود. این شامل:
- به حداقل رساندن جمع آوری و نگهداری داده ها.
- اتخاذ برنامه ایمن برای تخریب داده ها.
- رمزگذاری داده ها برای ذخیره سازی و انتقال.
- محدود کردن دسترسی به داده ها.
- آموزش کارکنان.
- رعایت مقررات مربوطه.
- اجرای استراتژی حاکمیت اطلاعات.
پردازنده PII هر ارائه دهنده خدمات ابر عمومی است که داده های شخصی مشتریان خود را پردازش می کند. به یاد داشته باشید که مشتری اصلی ممکن است کنترل کننده PII باشد و برای آنها تعهدات قانونی جداگانه ایجاد کند. ISO/IEC 27018 هیچ یک از این الزامات اضافی را پوشش نمی دهد.
اطلاعات قابل شناسایی شخصی چیست؟
آیا میتوانید از روی داده هایی که به شما میدهند شناسایی کنید که چه کسی است؟ اگر می توانید، این اطلاعات شخصی قابل شناسایی است. طبق تعریف، PII اطلاعاتی است که میتواند برای شناسایی یک فرد پیوند برقرار کند. PII می تواند شامل موارد زیر باشد:
- نام یک شخص
- تاریخ تولد آنها
- جایی که زندگی می کنند
- آدرس IP آنها
- اطلاعات دقیق بانکی
- مدارک پزشکی
- و خیلی بیشتر
تاریخچه استاندارد ایزو 27018 چیست؟
محیط مدیریت امنیت اطلاعات به سرعت در حال تحول است. استاندارد فنی ISO/IEC 27001 به PII نمی پردازد. بنابراین ISO یک استاندارد جدید و تکمیلی در سال 2014 ایجاد کرد به عنوان ISO/IEC 27018:2020. استاندارد جدید نگرانی های مربوط به شرکت هایی را که داده های شخصی را در ارائه دهندگان خدمات ابری پردازش میکنند، برطرف میکند. استاندارد ایزو 27018 تا کنون سه بار توسط سازمان ایزو ویرایش شده که نسخه 2020 آخرین ویرایش آن است.
تغییرات در استاندارد ISO 27018 چیست؟
استاندارد ISO 27018 ویرایش 2020 آخرین نسخه ISO 27018 است. تفاوت بین ISO 27018:2019 و ISO 27018:2020 اساساً فنی است. برای تمام اهداف عملی، می توانید نسخه های 2019 و 2020 ISO 27018 را یکسان در نظر بگیرید.
استاندارد ایزو 27018 ویرایش 2019 فقط شامل بازبینی های جزئی از نسخه 2014 بود. نسخه جدید استاندارد ایزو 27018 شامل:
- یک بخش پس زمینه کلی اضافه شد.
- آن را به عنوان یک سند و نه یک استاندارد بین المللی تعریف کرد.
تعریف ایزو 27018 به عنوان یک سند و نه استاندارد از نظر فنی دقیق تر است، زیرا استاندارد مورد توافق برای سیستم مدیریت امنیت اطلاعات (ISMS) ISO 27001 است.
ایزو 27018 چه ارتباطی با ایزو 27001 دارد؟
ISO 27001 الزامات فنی برای ایجاد یک ISMS را تعیین می کند. مطابقت با ISO 27001 استاندارد پایه برای امنیت داده ها است. ISO 27018 راهنمایی در مورد حفاظت از داده های سرویس ابری را به ISO 27001 اضافه می کند.
به جای انتخاب بین ISO 27001 یا 27018، به پیاده سازی آنها با هم فکر کنید. ISO 27001 بهترین چارچوب برای ایجاد یک ISMS است که بر مدیریت ریسک تمرکز دارد. ISO 27018 راهنمایی برای دستیابی به امنیت قوی در فضای ابری اضافه می کند.
ایزو 27018 چه ارتباطی با ISO 27701 دارد؟
ISO 27701 مدیریت اطلاعات حریم خصوصی، تعیین الزامات و راهنمایی برای پیاده سازی سیستم مدیریت اطلاعات حریم خصوصی (PIMS) را پوشش می دهد. این استاندارد همچنین راهنمایی هایی برای کنترل کننده ها و پردازنده های PII می دهد، از جمله توصیه های اجرایی بسته به موارد زیر:
- موقعیت تو
- هرگونه قانون یا مقررات ملی
ISO 27701 به ISO 27018 و قانون GDPR اتحادیه اروپا نگاشت. این یک توسعه استاندارد ISO 27001، استاندارد پایه برای امنیت داده ها است.
ایزو 27018چه ارتباطی با GDPR دارد؟
اگر سازمان شما در اتحادیه اروپا کار می کند، باید از GDPR (مقررات عمومی حفاظت از داده ها) پیروی کنید و بنابراین باید از آن آگاه باشید. این یک قانون اتحادیه اروپا (و بریتانیا، پس از برگزیت) است که پردازش داده های شخصی را کنترل می کند. GDPR فقط برای کشورهای اتحادیه اروپا اعمال نمی شود. این قانون همچنین در مورد هر سازمانی که کالا یا خدماتی را در اتحادیه اروپا ارائه می دهد اعمال می شود.
GDPR و ISO 27018 عملکردهای کمی متفاوت دارند. GDPR مقررات حفظ حریم خصوصی و حفاظت از داده ها را تعیین می کند. ISO 27018 یک چارچوب عملی برای مدیریت حفاظت از داده ها و خطرات امنیت اطلاعات به شما می دهد. پیاده سازی ISO 27001، در ارتباط با 27018، پایه ای محکم برای انطباق با GDPR به شما می دهد.
مزایای ISO 27018 چیست؟
امنیت سایبری یک مسئله بزرگ برای اطمینان کسب و کار است. در بازار جهانی امروز، حفاظت از داده های مشتری هرگز مهم تر از این نبوده است. ISO 27018 یک چارچوب انطباق جهانی قوی ایجاد می کند.
ISO 27018 به ویژه برای مشتریان خدمات ابری مفید است. از ممیزی برای انطباق در برابر مسئولیت های داخلی پشتیبانی می کند. این به ویژه زمانی مفید است که پردازشگر داده یک ارائه دهنده ابر شخص ثالث باشد.
از دیگر مزایای ISO 27018 این است که:
- خطرات نقض داده ها در فضای ابری و جریمه های نظارتی مرتبط را کاهش می دهد.
- باعث ایجاد اعتماد در سازمان شما می شود.
- مشتریان و سازمان های ذینفع می دانند که شما از داده های شخصی آنها محافظت می کنید.
- از اعتبار برند شما محافظت می کند.
چه سازمان هایی می توانند اقدام به اخذ گواهینامه ایزو 27018 نمایند؟
این استاندارد برای بسیاری از انواع سازمان ها مرتبط است. این که آیا شما:
- بخش خصوصی، دولتی یا غیر انتفاعی
- یک شرکت بزرگ، متوسط یا کوچک
اگر داده های PII را از طریق محاسبات ابری پردازش می کنید، ISO 27018 برای شما مناسب است.
اگر PII را با شرکت دیگری منعقد کنید، بررسی های لازم نشان میدهد که آیا آنها با ISO/IEC 27018 کار میکنند یا خیر. هر ارائه دهنده خدماتی که از ابر یا PII استفاده میکند باید ISO 27018 را در نظر بگیرد.
اکثر ارائه دهندگان خدمات ابری معروف در حال توسعه یا توسعه اقدامات امنیتی برای محافظت از PII هستند. بازیگران اصلی صنعت که قبلاً دارای سیاست های مطابق با ISO/IEC 27018 هستند عبارتند از:
- خدمات وب آمازون
- دراپ باکس
- Google Apps for Work
- IBM Softlayer
- مایکروسافت آژور
آیا می توانید گواهینامه ایزو 27018 دریافت کنید؟
ISO 27018 یک کد عملی است، نه یک استاندارد. گواهینامه ISO 27018 به طور کلی در فرآیند ممیزی ISO 27001 گنجانده شده است، اگر به عنوان یک افزودنی برای ISMS گنجانده شود.
برای دریافت گواهینامه استاندارد ISO، یک حسابرس ذیصلاح ممیزی را انجام می دهد. حسابرس بررسی می کند که آیا سازمان معیارهای ISO را برآورده می کند یا شکاف هایی وجود دارد. این به عنوان ممیزی مرحله 1 شناخته می شود.
پس از ممیزی، سازمان زمان خواهد داشت تا هرگونه شکاف در موارد زیر را برطرف کند:
- فرآیندها
- رویه ها
- پیاده سازی
پس از چند هفته، حسابرس برای ممیزی مرحله 2 بازخواهد گشت. این ممیزی بسیار طولانی تر و عمیق تر از مرحله 1 است. ممیزی مرحله 2 شما اطمینان میدهد که ISMS واقعاً همانطور که طراحی و اجرا شده است کار میکند.
اخذ گواهینامه ایزو به دنبال این بازدید انجام می شود که ISMS تمام معیارها را برآورده می کند. حسابرس به صورت دوره ای (معمولاً سالانه) از سازمان بازدید می کند تا ادامه انطباق شما را تأیید کند. برای حفظ وضعیت گواهینامه ISO خود، باید ممیزی های نگهداری سالانه خود را بگذرانید.
الزامات ISO/IEC 27018:2020 چیست؟
ISO/IEC 27018 راهنمای اجرای کنترل های امنیتی در ISO/IEC 27002 را گسترش میدهد. این کنترل ها مسئولیت های حفاظت از داده ها را به موارد زیر تقسیم میکنند:
- مسئولیت های شما به عنوان مشتری سرویس ابری و کنترل کننده داده، حتی اگر ذخیره سازی داده ها را برون سپاری کنید.
- مسئولیت های ارائه دهنده خدمات ابری شما به عنوان پردازشگر داده.
کنترل های امنیتی گسترده عبارتند از:
- الزامات رمزگذاری PII در حین ذخیره سازی و انتقال.
- یک برنامه حذف ایمن برای هر PII که دیگر مورد نیاز نیست.
- یک قرارداد سرویس ابری که دلیل انجام پردازش PII را مشخص می کند.
- تضمین های قوی ارائه دهنده خدمات ابری برای حاکمیت اطلاعات.
همچنین به مجموعه ای از کنترل های امنیتی اضافی نیاز دارید. اینها با اصول حفظ حریم خصوصی تعیین شده در چارچوب حریم خصوصی ISO/IEC 29100 همسو هستند. ISO/IEC 27018 به ارائه دهندگان ابر اجازه می دهد تا ثابت کنند که می دانند چگونه از PII مشتریان خود محافظت کنند.
اگر سازمان شما PII را پردازش می کند، پیاده سازی ISO 27018 را در کنار ISO 27001 ISMS در نظر بگیرید.