ISO 27001 Normreihe – ISO 27018 für Datenschutz in der Cloud

ISO/IEC 27018:2019 - Leitfaden zum Schutz personenbezogener Daten (PII) in öffentlichen Cloud-Diensten als Auftragsdatenverarbeitung

Die ISO 27001 als zertifizierbare Norm bietet weitere „Unternormen“ an, die für besondere Geschäftsfelder zusätzliche Anforderungen definieren. Die ISO 27018  ist einer dieser Unternormen, die zum Schutz personenbezogener Daten in öffentlichen Cloud-Diensten weitere Anforderungen stellt.
Dabei ist wichtig zu erwähnen, dass die ISO 27018 KEINE Konformität zur DSGVO bescheinigt. Dies ist nur durch - ein sich in Arbeit befindliches - akkreditiertes Verfahren zur Konformitätsbescheinigung nach EU-DSGVO möglich (Stand Juli 2019).

Zertifizierbarkeit der ISO 27018

Im Gegensatz zur ISO 27001 kann die ISO 27018 nicht zertifiziert werden. Jedoch kann bei einer Zertifizierung nach ISO 27001, auf Grundlage des gewählten Geltungsbereiches, die ISO 27018 als zusätzliche Anforderung hinzugezogen werden.

Dabei ist die ISO 27001 als eine Art Grundgerüst zu sehen. Die zusätzlichen Anforderungen der ISO 27018 an das Managementsystem und an die zu erfüllenden Controls bilden dann die branchenspezifischen Besonderheiten ab. Es ist durchaus möglich, mehrere solcher Branchenanforderungen zu kombinieren, z.B. mit der ISO 27011 (Informationssicherheitsmaßnahmen für Telekommunikationsunternehmen).

Aufbau der Norm

Die ISO 27018 beinhaltet 18 Kapitel sowie den Anhang A. Inhaltlich sind die Kapitel 5 – 18 relevant, da die Kapitel 1 – 5 den Geltungsbereich dieser Norm, Normreferenzen, Begriffe usw. definieren. In den Inhaltlichen Kapiteln 5 – 18 wird größtenteils auf die ISO 27002 referenziert und teilweise werden Besonderheiten bzgl. des Bereichs Cloud-Dienste hinzugefügt. Mehr inhaltliche und wesentliche Neuerungen sind im Anhang A zu finden.

Zusätzliche Controls (Anhang A) durch die ISO 27018

Die ISO 27018 bringt einige erweiternde Controls mit sich. Im Anhang A finden sich die Controls A.1 bis A.12 mit teilweise weiteren Unterpunkten. Diese zusätzlichen Controls müssen in der von der ISO 27001 geforderten „Erklärung zur Anwendbarkeit“ (engl. „statement of applicability“, kurz: SoA) wiedergefunden werden. Dies bedeutet allerdings nicht, dass alle auch umgesetzt werden müssen. Abhängig der Risikoanalyse können einzelne Controls ausgeschlossen werden, wenn diese Themenfelder für das Unternehmen nicht relevant sind. Bei einem Ausschluss von einzelnen Controls müssen diese Ausschlüsse jedoch begründet werden.

Control Überschrift

A.1

General

A.2

Consent and choice

A.2.1

Obligation to co-operate regarding PII principals’ rights

A.3

Purpose legitimacy and specification

A.3.1

Public cloud PII processor’s purpose

A.3.2

Public cloud PII processor's commercial use

A.4

Collection limitation

A.5

Data minimization

A.5.1

Secure erasure of temporary files

A.6

Use, retention and disclosure limitation

A.6.1

PII disclosure notification

A.6.2

Recording of PII disclosures

A.7

Accuracy and quality

A.8

Openness, transparency and notice

A.8.1

Disclosure of sub-contracted PII processing

A.9

Individual participation and access

A.10

Accountability

A.10.1

Notification of a data breach involving PII

A.10.2

Retention period for administrative security policies and guidelines

A.10.3

PII return, transfer and disposal

A.11

Information security

A.11.1

Confidentiality or non-disclosure agreements

A.11.2

Restriction of the creation of hardcopy material

A.11.3

Control and logging of data restoration

A.11.4

Protecting data on storage media leaving the premises

A.11.5

Use of unencrypted portable storage media and devices

A.11.6

Encryption of PII transmitted over public data-transmission networks

A.11.7

Secure disposal of hardcopy materials

A.11.8

Unique use of user IDs

A.11.9

Records of authorized users

A.11.10

User ID management

A.11.11

Contract measures

A.11.12

Sub-contracted PII processing

A.11.13

Access to data on pre-used data storage space

A.12

Privacy compliance

A.12.1

Geographical location of PII

A.12.2

Intended destination of PII

 

Schnittmenge zum Datenschutz

Die Schnittmenge zum Datenschutz ist durch den gesetzten Fokus auf die Auftragsverarbeitung (ehemals Auftragsdatenverarbeitung) naturgemäß sehr hoch. Die ISO 27018 in Verbindung mit dem „C5“ Für Cloud-Anbieter haben bisher den de-facto Standard in Sachen Datenschutz im Cloudumfeld vorgegeben.

Es ist noch abzuwarten wie der Umgang mit der noch erwarteten Datenschutzzertifizierung in Einklang zu bringen ist.

Schulungen zum Thema Informationssicherheitssysteme

Unsere GUTcert Akademie bietet viele praxisorientierte Seminare zum Thema Informationssicherheitssysteme an, u.a. eine Schulung zum Informationssicherheitsbeauftragten/-auditor nach ISO 27001 (GUTcert). Verschaffen Sie sich das nötige Know-how, um Ihre Organisation kompetent abzusichern.

Ansprechpartner

Für Informationen zum Schulungsprogramm steht Ihnen das Team der GUTcert Akademie zur Verfügung.

Fragen oder Hinweise zum Thema Informationssicherheit richten Sie gerne an Marcel Däfler.

Zurück