Jessica Doering
14. Oktober 2024
~
3
Minuten Lesezeit
Schutz personenbezogener Daten (ISO 27018) gemäß ISO 27001!
Lernen Sie das entspannte Mitglied der ISO 27k-Familie kennen - ISO 27018!
ISO 27018 ist eine internationale Norm, die Leitlinien für den Schutz personenbezogener Daten in einer öffentlichen Cloud-Computing-Umgebung enthält.
Und da wir mehr Details wissen wollten und die Tatsache, dass TISAX die Lösung für den Schutz von Kunden- und Prototypendaten zu sein scheint, war ISO 27018 für ein Interview bereit! Er hatte auch etwas zu sagen!
Und ich will nicht angeben, aber unser Gast ist der erste internationale Standard, der speziell für den Datenschutz beim Cloud Computing entwickelt wurde.
Zweck der ISO 27018
F: Was ist also Ihr Ziel?
A: Meine Kontrollen helfen den Anbietern von Cloud-Diensten, die Sicherheitsrisiken für personenbezogene Daten zu mindern.
F: Es wird also persönlich?
A: Irgendwie schon.
F: Sie sind auch Teil des ISO 27k Clans, und das allein macht Sie schon interessant...
A: Ja, es ist eine schöne Last, zu meiner Familie zu gehören.
F: Ihre Aufgabe ist es also, persönliche Informationen zu schützen?
A: Ja, ich mag es von Angesicht zu Angesicht.
F: Gefällt Ihnen die offizielle Beschreibung Ihrer Person?
Offizieller Wortlaut der ISO (Internationale Organisation für Normung): Dieses Dokument legt allgemein anerkannte Kontrollziele, Kontrollen und Richtlinien für die Umsetzung von Maßnahmen zum Schutz personenbezogener Daten (PII) in Übereinstimmung mit den Datenschutzgrundsätzen in ISO/IEC 29100 für die öffentliche Cloud-Computing-Umgebung fest.
Insbesondere werden in diesem Dokument Leitlinien auf der Grundlage von ISO/IEC 27002 festgelegt , wobei die rechtlichen Anforderungen an den Schutz personenbezogener Daten berücksichtigt werden, die im Kontext der Informationssicherheits-Risikoumgebung(en) eines Anbieters von öffentlichen Cloud-Diensten anwendbar sein können.
A: Ich meine, ich habe kein Problem damit. Die Schlüsselwörter wie Kontrollen, Politik, Schutz personenbezogener Daten sind enthalten, also ist es bereits klar, welche Rolle ich spiele.
F: Und Ihre Mutter, alias ISO 27002, wird auch erwähnt. Hat sie nicht auch täglich mit Schwachstellenmanagement (Vulnerabilty Management) zu tun? Und wie geht es Ihrer Schwester ISO 27017?
A: Tut mir leid, Sie können ihre Lebensläufe auf anderen Blogs finden. Heute geht es nur um mich!
F: Okay, das respektieren wir, aber vielleicht sollten wir über deine Oma sprechen.
A: Ja, ich weiß. ISO 27001. Ohne sie wäre ich nichts, also ist das okay.
F: Was ist also Ihr Geltungsbereich?
Geltungsbereich der ISO 27018
A: Ich sorge für die sichere Verarbeitung personenbezogener Daten in dieser Cloud. Ich habe es schon immer geliebt, tiefer in die Materie einzusteigen, wissen Sie. Meine Aufgabe ist es also, gemeinsame Richtlinien für die Verarbeitung personenbezogener Daten durch öffentliche Clouds festzulegen, die als Auftragsverarbeiter im Namen ihrer Kunden handeln.
F: Was genau bieten Sie an?
A: Ich biete Anbietern von Cloud-Diensten eine Anleitung für die Auswahl und Implementierung von Sicherheitskontrollen auf der Grundlage der ISO 27001 meiner Oma und der ISO 27002 meiner Mutter.
Diese Leitlinien werden dann für die Datenverarbeitung durch die für die Verarbeitung Verantwortlichen verwendet. Diese unterliegen jedoch ihrerseits noch zusätzlichen Verpflichtungen, auf die ich jedoch nicht weiter eingehe.
Unterschied zwischen ISO 27017 & ISO 27018 & TISAX
F: Ist das nicht dasselbe, was Ihre Schwester(ISO 27017) macht?
A: Nein, sie befasst sich eher mit spezifischen Richtlinien zur Sicherung von Cloud-Umgebungen. Ich hingegen kümmere mich um die rechtlichen Anforderungen zum Schutz personenbezogener Daten. Ich führe oft Gespräche mit für die Datenverarbeitung Verantwortlichen. Sie sind in der Regel auf der Suche nach angemessener Sicherheit für die von ihnen genutzten Cloud-Dienste. Und da kann ich mit meinen Leitlinien natürlich helfen!
F: Sie kennen also TISAX? Ich meine, haben Sie einige Ähnlichkeiten oder nicht?
A: Na ja, wir kennen uns, aber meine Großmutter(ISO 27001) und meine Mutter(ISO 27002) bekommen eigentlich alles, was TISAX betrifft, gut mit. Wenn es um den expliziten Schutz personenbezogener Daten geht, bin ich einfach mit an Bord. Aber die Prototypenschutz - Geschichte ist schon ein TISAX Ding. Und das ist auch gut so, soweit es geht. Aber eigentlich sind wir eine sehr große, hoch und weit entwickelte ISO 27k Matriarchie und haben daher die Macht, eigentlich alles abzudecken, was ein ISMS betrifft.
Vorteile von ISO 27018
F: Und was sind Ihre Vorteile?
A: Auch hier besteht mein Hauptnutzen darin, dass ich einen Leitfaden für den Schutz personenbezogener Daten in der Cloud bereitstelle. Damit helfe ich Unternehmen, die Einhaltung der Datenschutzbestimmungen nachzuweisen.... Und trage auch zur ISO 27001-Zertifizierung bei! Ein Familienziel, wissen Sie.
F: Gibt es etwas, womit Sie angeben möchten?
A: Ich selbst bin sogar zertifizierbar, obwohl ich dazu sowohl die Zertifizierung meiner Großmutter(ISO 27001) als auch die Erlaubnis meiner Schwester(ISO 27017) brauche. Nun, wie gesagt - Matriarchat. Es handelt sich jedoch nicht um ein Zertifikat wie bei ISO 27001, sondern eher um eine von unabhängiger Seite überprüfte Zertifizierung, das Gleiche gilt für meine Schwester. Aber es ist etwas, mit dem man angeben kann. Ich mache das weniger, sie schon. Nun ja.
F: Es scheint, als hätten Sie Streit mit Ihrer Schwester?
A: Auf keinen Fall! Wenn meine Schwester die Prüfung erfolgreich absolviert, kann ich sofort in derselben Prüfung vorsprechen. Deshalb ist es immer ein schönes Wiedersehen, da wir ziemlich weit voneinander entfernt wohnen. Ich bin ein bisschen abhängig von ihr, aber sie hat mich noch nie enttäuscht.
Kontrollen der ISO 27018
F: Haben Sie ein paar Statistiken?
A: Sie wollen, dass ich sie aufliste?
F: Ja!
A: Alright, i provide a guide with 16 controls for my mother's business (ISO 27002) and 25 new privacy and security controls that are just mine :)
In einigen Fällen ergänze ich meine Schwester(ISO 27017)... und meine Kontrollen befassen sich mit diesem Thema:
- Die Verpflichtung zur Zusammenarbeit mit den für die Verarbeitung von personenbezogenen Daten Verantwortlichen.
- Wahrung der Rechte von Auftraggebern von personenbezogenen Daten.
- Einhaltung grundlegender Datenschutzanforderungen, wie Datenminimierung und Genauigkeit
- Die Grundsätze der Transparenz und der Rechenschaftspflicht
- Zusätzliche Sicherheitskontrollen
- Anforderungen an die Bearbeitung durch Unterauftragnehmer
F: Zusammenfassend lässt sich sagen, dass Sie wichtige Datenschutzanforderungen für Cloud Computing abdecken und die Verarbeitung personenbezogener Daten regeln?
A: Ja!
F: Ziemlich zuversichtlich!
A: Warum nicht? Schließlich arbeiten wir in der 27k-Familie aufeinander zu und ich muss zugeben, dass ich auch nicht zu jeder Familienfeier gehe. Meine unabhängig geprüfte Zertifizierung ist aber auch ein starkes Zeichen, denn schließlich bestätige ich damit die höchstmögliche Informationssicherheit Ihrer Cloud-Services! Das schafft natürlich Vertrauen zwischen Unternehmen, ihren Lieferanten und ihren Kunden.
F: Irgendwelche letzten Worte?
A: Ja, buchen Sie eine Beratung bei Secfix!
