ISO/IEC 27018:2019 Информационни технологии. Методи за сигурност. Кодекс за добра практика за защита на лични данни (PII) в обществени облаци, действащи като администратори на лични данни (PII - Personally Identifiable Information)

ISO 27018


Какво е ISO/IEC 27018?
ISO/IEC 27018 е международен стандарт, специално създаден за облачни услуги, с оглед на все по-големия брой организации от публичния и частния сектор, преминаващи към информационни услуги в облака, за да постигнат ефективност и да намалят разходите.
Тъй като ISO/IEC 27018 е предназначен за облака, той може да осигури критично ниво на прозрачност за клиентите на облачни услуги, които искат да разберат по-добре и да сравнят практиките на различните доставчици на облачни услуги и как те осигуряват сигурност и защита на личните данни.
ISO/IEC 27018 е приложим за всички видове и размери организации, включително публични и частни компании, правителствени организации и организации с нестопанска цел, които предоставят услуги като администратори на лични данни чрез облачни услуги по договор с други организации.
Насоките в стандарта могат да бъдат от полза и за организациите, действащи като контролни органи на обработващи лични данни. Трябва да се има предвид, че стандартът не покрива допълнителните задължения на контролните органи, произлизащи от законодателство, разпоредби и нормативни актове.
 
Целта на този стандарт е да се създаде общ набор от категории и контроли за сигурност, които могат да бъдат реализирани от публичен доставчик на облачни услуги, действащ като администратор на лични данни. ISO/IEC 27018 има следните цели:
  • общественият доставчик на облачни услуги да бъде улеснен при изпълнение приложимите изисквания за обработващи лични данни, независимо дали тези задължения са преки или чрез договор на обработващия лични данни;
  • да се даде възможност на публичния доставчик на облачни услуги, обработващ лични данни, да бъде прозрачен по съответните въпроси, така че клиентите да могат да избират добре управлявани услуги за обработка на лични данни в облак;
  • да подпомага клиента на облачни услуги и на публичния администратор на лични данни в облак при сключването на договор или споразумение;
  • да предостави на клиентите на облачни услуги механизъм за упражняване на контрол относно спазване на техните права и отговорности в случаите, когато индивидуалните проверки от клиенти са хоствани в облачна среда и могат да бъдат трудно осъществими, като в резултат да се увеличи рискът за тези физически и логически проверки на мрежата.
 
Структура:
ISO/IEC 27018 следва структурата, възприета в другите ISO стандарти за управление на информационната сигурност от серията 27000. Стандартът е интегриран тясно с ISO/IEC 27002:2017 "Информационни технологии. Методи за сигурност. Кодекс за добра практика за управление на сигурността на информацията", като изискванията за управление на сигурността на информацията са разширени в посока обработване на лични данни в облачно пространство.
 
С внедряване на ISO/IEC 27018 доставчиците на облачни услуги гарантират на потребителите, че:
  • обработват личната информация само в съответствие с инструкциите на потребителя;
  • се съгласяват да не обработват лична информация за рекламни или маркетингови цели без изричното съгласие на клиента;
  • приемат подходящи организационни мерки и мерки за сигурност;
  • отказват разкриване на информация на правоохранителните органи, освен ако това не се изисква по закон;
  • осигуряват прозрачност относно техните практики по обработване на данни.
 
 

ISO/IEC 27018:2019 Информационни технологии. Методи за сигурност. Кодекс за добра практика за защита на лични данни (PII) в обществени облаци, действащи като администратори на лични данни (PII - Personally Identifiable Information)



ЕТИКЕТИ

Новини

27 Март 2019
Интернет допринася значително за напредването на световната икономика и появата ...
25 Март 2019
На 18 април 2019 г. КОНСЕХО ЕООД организира обучение за практич...

Полезно

18 Април 2019
Нараняванията по пътищата са една от водещите причини за смърт в световен мащаб,...
13 Март 2019
Ако мислите, че за да получите сертификат за сигурност на информацията, съгласно...