ISO 27001 Normreihe? ISO 27018 für Datenschutz in der Cloud

ISO 27001 Normreihe? ISO 27018 für Datenschutz in der Cloud

ID: 1741568

ISO/IEC 27018:2019 - Leitfaden zum Schutz personenbezogener Daten (PII) inöffentlichen Cloud-Diensten als Auftragsdatenverarbeitung



(PresseBox) - Die ISO 27001 als zertifizierbare Norm bietet weitere ?Unternormen? an, die für besondere Geschäftsfelder zusätzliche Anforderungen definieren. Die ISO 27018  ist einer dieser Unternormen, die zum Schutz personenbezogener Daten in öffentlichen Cloud-Diensten weitere Anforderungen stellt.

Dabei ist wichtig zu erwähnen, dass die ISO 27018 KEINE Konformität zur DSGVO bescheinigt. Dies ist nur durch - ein sich in Arbeit befindliches - akkreditiertes Verfahren zur Konformitätsbescheinigung nach EU-DSGVO möglich (Stand Juli 2019).

Zertifizierbarkeit der ISO 27018

Im Gegensatz zur ISO 27001 kann die ISO 27018 nicht zertifiziert werden. Jedoch kann bei einer Zertifizierung nach ISO 27001, auf Grundlage des gewählten Geltungsbereiches, die ISO 27018 als zusätzliche Anforderung hinzugezogen werden.

Dabei ist die ISO 27001 als eine Art Grundgerüst zu sehen. Die zusätzlichen Anforderungen der ISO 27018 an das Managementsystem und an die zu erfüllenden Controls bilden dann die branchenspezifischen Besonderheiten ab. Es ist durchaus möglich, mehrere solcher Branchenanforderungen zu kombinieren, z.B. mit der ISO 27011 (Informationssicherheitsmaßnahmen für Telekommunikationsunternehmen).

Aufbau der Norm

Die ISO 27018 beinhaltet 18 Kapitel sowie den Anhang A. Inhaltlich sind die Kapitel 5 ? 18 relevant, da die Kapitel 1 ? 5 den Geltungsbereich dieser Norm, Normreferenzen, Begriffe usw. definieren. In den Inhaltlichen Kapiteln 5 ? 18 wird größtenteils auf die ISO 27002 referenziert und teilweise werden Besonderheiten bzgl. des Bereichs Cloud-Dienste hinzugefügt. Mehr inhaltliche und wesentliche Neuerungen sind im Anhang A zu finden.

Zusätzliche Controls (Anhang A) durch die ISO 27018



Die ISO 27018 bringt einige erweiternde Controls mit sich. Im Anhang A finden sich die Controls A.1 bis A.12 mit teilweise weiteren Unterpunkten. Diese zusätzlichen Controls müssen in der von der ISO 27001 geforderten ?Erklärung zur Anwendbarkeit? (engl. ?statement of applicability?, kurz: SoA) wiedergefunden werden. Dies bedeutet allerdings nicht, dass alle auch umgesetzt werden müssen. Abhängig der Risikoanalyse können einzelne Controls ausgeschlossen werden, wenn diese Themenfelder für das Unternehmen nicht relevant sind. Bei einem Ausschluss von einzelnen Controls müssen diese Ausschlüsse jedoch begründet werden.

Controls und Bezeichnungen

A.1 General

A.2 Consent and choice

A.2.1 Obligation to co-operate regarding PII principals? rights

A.3 Purpose legitimacy and specification

A.3.1 Public cloud PII processor?s purpose

A.3.2 Public cloud PII processor's commercial use

A.4 Collection limitation

A.5 Data minimization

A.5.1 Secure erasure of temporary files

A.6 Use, retention and disclosure limitation

A.6.1 PII disclosure notification

A.6.2 Recording of PII disclosures

A.7 Accuracy and quality

A.8 Openness, transparency and notice

A.8.1 Disclosure of sub-contracted PII processing

A.9 Individual participation and access

A.10 Accountability

A.10.1 Notification of a data breach involving PII

A.10.2 Retention period for administrative security policies and guidelines

A.10.3 PII return, transfer and disposal

A.11 Information security

A.11.1 Confidentiality or non-disclosure agreements

A.11.2 Restriction of the creation of hardcopy material

A.11.3 Control and logging of data restoration

A.11.4 Protecting data on storage media leaving the premises

A.11.5 Use of unencrypted portable storage media and devices

A.11.6 Encryption of PII transmitted over public data-transmission networks

A.11.7 Secure disposal of hardcopy materials

A.11.8 Unique use of user IDs

A.11.9 Records of authorized users

A.11.10 User ID management

A.11.11 Contract measures

A.11.12 Sub-contracted PII processing

A.11.13 Access to data on pre-used data storage space

A.12 Privacy compliance

A.12.1 Geographical location of PII

A.12.2 Intended destination of PII

Schnittmenge zum Datenschutz

Die Schnittmenge zum Datenschutz ist durch den gesetzten Fokus auf die Auftragsverarbeitung (ehemals Auftragsdatenverarbeitung) naturgemäß sehr hoch. Die ISO 27018 in Verbindung mit dem ?C5? Für Cloud-Anbieter haben bisher den de-facto Standard in Sachen Datenschutz im Cloudumfeld vorgegeben.

Es ist noch abzuwarten wie der Umgang mit der noch erwarteten Datenschutzzertifizierung in Einklang zu bringen ist.

Schulungen zum Thema Informationssicherheitssysteme

Unsere GUTcert Akademie bietet viele praxisorientierte Seminare zum Thema Informationssicherheitssysteme an, u.a. eine Schulung zum Informationssicherheitsbeauftragten/-auditor nach ISO 27001 (GUTcert). Verschaffen Sie sich das nötige Know-how, um Ihre Organisation kompetent abzusichern.

Ansprechpartner

Für Informationen zum Schulungsprogramm steht Ihnen das Team der GUTcert Akademie (+49 30 2332021-21) zur Verfügung.

Fragen oder Hinweise zum Thema Informationssicherheit richten Sie gerne an Marcel Däfler.

Die Zertifizierung von Integrierten Managementsystemen mit den Schwerpunkten Qualitätsmanagement, Umweltmanagement, Arbeitssicherheit sowie Energiemanagement ist das Hauptgeschäft der GUTcert. Weitere Kernkompetenzen der GUTcert sind die Verifizierung von Treibhausgasemissionen nach anerkannten Standards sowie die Zertifizierung der Nachhaltigkeitsanforderungen für Biomasse.

Als Mitglied der AFNOR Gruppe bietet die GUTcert ihre Zertifizierungsdienstleistungen im internationalen Netzwerk an, welches weltweit 28 Niederlassungen umfasst und mit 1.500 Auditoren und 20.000 Experten Kunden in über 90 Ländern betreut.

Die GUTcert Akademie bündelt das Fachwissen von Auditoren und anderen Experten, um Teilnehmern direkt anwendbare Kompetenzen mit nachhaltigem Mehrwert zu vermitteln.

Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:

Die Zertifizierung von Integrierten Managementsystemen mit den Schwerpunkten Qualitätsmanagement, Umweltmanagement, Arbeitssicherheit sowie Energiemanagement ist das Hauptgeschäft der GUTcert. Weitere Kernkompetenzen der GUTcert sind die Verifizierung von Treibhausgasemissionen nach anerkannten Standards sowie die Zertifizierung der Nachhaltigkeitsanforderungen für Biomasse.Als Mitglied der AFNOR Gruppe bietet die GUTcert ihre Zertifizierungsdienstleistungen im internationalen Netzwerk an, welches weltweit 28 Niederlassungen umfasst und mit 1.500 Auditoren und 20.000 Experten Kunden inüber 90 Ländern betreut.Die GUTcert Akademie bündelt das Fachwissen von Auditoren und anderen Experten, um Teilnehmern direkt anwendbare Kompetenzen mit nachhaltigem Mehrwert zu vermitteln.



drucken  als PDF  Auf eine Tasse Java mit ... Laura Fink. Das Thema: Machine Learning Ford erwirbt Quantum Signal, um die Entwicklung von selbstfahrenden Fahrzeugen zu beschleunigen
Bereitgestellt von Benutzer: PresseBox
Datum: 31.07.2019 - 12:50 Uhr
Sprache: Deutsch
News-ID 1741568
Anzahl Zeichen: 7585

Kontakt-Informationen:
Stadt:

Berlin



Kategorie:

Softwareindustrie



Diese Pressemitteilung wurde bisher 438 mal aufgerufen.


Die Pressemitteilung mit dem Titel:
"ISO 27001 Normreihe? ISO 27018 für Datenschutz in der Cloud"
steht unter der journalistisch-redaktionellen Verantwortung von

GUTcert GmbH (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).

Claude Mythos: Auswirkungen auf modernes Penetration Testing ...
  Was ist „Claude Mythos“? „Claude Mythos Preview“ ist ein nicht öffentlich zugängliches Frontier-KI Modell von Anthropic mit Fokus auf IT-Sicherheit, das bisherige Systeme in einem Punkt deutlich übertrifft: Es kann Schwachstellen nicht nur finden, sondern diese auch praktisch ausnutzen

EmpCo 2026: Anforderungen verstehen und Kommunikation gesetzeskonform gestalten ...
Ab September 2026 gelten die neuen Vorschriften vollständig für Unternehmen, die auf dem EU-Markt tätig sind. Die GUTcert berichtet kurz, was diese neuen Regeln für Unternehmen und ihre Kommunikation über nachhaltige Ambitionen, Klimaprojekte und CO2-Zertifikate bedeuten und wie wir sie bei der

Jetzt online: Programm Exzellenznetzwerk Energie- und Klimamanagement 2026 ...
Im Programm werden Umsetzungshinweise zum neuen Energieeffizienzgesetz (EnEfG) aus Sicht des BAFA, aktuelle Entwicklungen im Energierecht und Einschätzungen zu Hindernissen bei der Einbindung von Energieeffizienz in die Klimastrategie vorgestellt. Zu Energieeffizienz und Klimastrategie wird auch GU


Weitere Mitteilungen von GUTcert GmbH


Ford erwirbt Quantum Signal, um die Entwicklung von selbstfahrenden Fahrzeugen zu beschleunigen ...
- Ford Motor Company hat das US-Unternehmen Quantum Signal gekauft - Quantum Signal bietet Erfahrung in den Bereichen Robotik und Echtzeitsimulation - Ford möchte mit dem Erwerb die Entwicklung autonomer Fahrzeuge beschleunigen Seit der Gründung im Jahr 1999 arbeitet d

Auf eine Tasse Java mit ... Laura Fink. Das Thema: Machine Learning ...
Künstliche Intelligenz, Maschinelles Lernen, Automatisierung. Die Digitalisierung führt Begriffe ein, die nicht immer trennscharf behandelt werden. Laura Fink, Softwareentwicklerin und Expertin für Machine Learning bei Micromata, erklärt in diesem Interview, was es mit Maschinellem Lernen und in

Mit inconsoWCS komplexe Lagerprozesse effizient steuern ...
Unabhängig von Umfang und Größe gilt ein koordiniertes Steuern der heterogenen technischen Komponenten in der Logistik als zunehmendes ?Must-have?. Leistungsfähige Softwarelösungen sind der Schlüssel zum Erfolg. Der Logistiksoftwarespezialist präsentiert passend dazu ein neues Release des inc

Entscheidung für Branchensoftware WDV 2020 ...
?Wir wollten erst einmal weg von den Lieferscheinen aus Papier und hin zu einer möglichst kompletten digitalen Abwicklung und Verwaltung unserer Aufträge.? Deshalb habe sich die Mitteldeutsche Baustoffe GmbH entschieden, auch die integrierten Waagen seiner insgesamt 28 Radlader mit einer neuen Sof


 

Werbung



Sponsoren

foodir.org The food directory für Deutschland
News zu Snacks finden Sie auf Snackeo.
Informationen für Feinsnacker finden Sie hier.

Firmenverzeichniss

Firmen die firmenpresse für ihre Pressearbeit erfolgreich nutzen
1 2 3 4 5 6 7 8 9 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z