ISO/IEC 27018:2019 Информационни технологии. Методи за сигурност. Кодекс за добра практика за защита на лични данни в обществени облаци, действащи като администратори на лични данни
ISO/IEC 27018
Какво е ISO/IEC 27018?
ISO/IEC 27018 е международен стандарт, специално създаден за облачни услуги, с оглед на все по-големия брой организации от публичния и частния сектор, преминаващи към информационни услуги в облака, за да постигнат ефективност и да намалят разходите.
Тъй като ISO/IEC 27018 е предназначен за облака, той може да осигури критично ниво на прозрачност за клиентите на облачни услуги, които искат да разберат по-добре и да сравнят практиките на различните доставчици на облачни услуги и как те осигуряват сигурност и защита на личните данни.
ISO/IEC 27018 е приложим за всички видове и размери организации, включително публични и частни компании, правителствени организации и организации с нестопанска цел, които предоставят услуги като администратори на лични данни чрез облачни услуги по договор с други организации.
Насоките в стандарта могат да бъдат от полза и за организациите, действащи като контролни органи на обработващи лични данни. Трябва да се има предвид, че стандартът не покрива допълнителните задължения на контролните органи, произлизащи от законодателство, разпоредби и нормативни актове.
Целта на този стандарт е да се създаде общ набор от категории и контроли за сигурност, които могат да бъдат реализирани от доставчик на облачни услуги, действащ като администратор на лични данни. ISO/IEC 27018 има следните цели:
- доставчикът на облачни услуги да бъде улеснен при изпълнение приложимите изисквания за обработващи лични данни, независимо дали тези задължения са преки или чрез договор за обработване на лични данни;
- да направи услугите на доставчика, обработващ лични данни, прозрачни и достъпни, така че клиентите да могат да избират добре управлявани услуги за обработка на лични данни в облак;
- да подпомага клиента на облачни услуги и на администратора на лични данни в облак при сключването на договор или споразумение;
- да предостави на клиентите на облачни услуги механизъм за упражняване на контрол върху личните си данни, хоствани в облачна среда.
Структура:
ISO/IEC 27018 следва структурата, възприета в другите ISO стандарти за управление на информационната сигурност от серията 27000. Стандартът е интегриран тясно с ISO/IEC 27002 "Информационни технологии. Методи за сигурност. Кодекс за добра практика за управление на сигурността на информацията", като изискванията за управление на сигурността на информацията са разширени в посока обработване на лични данни в облачно пространство.
С внедряване на ISO/IEC 27018 доставчиците на облачни услуги гарантират на потребителите, че:
- обработват личната информация само в съответствие с инструкциите на потребителя;
- се съгласяват да не обработват лична информация за рекламни или маркетингови цели без изричното съгласие на клиента;
- приемат подходящи организационни мерки и мерки за сигурност;
- отказват разкриване на информация освен на правоохранителните органи, когато това се изисква по закон;
- осигуряват прозрачност относно техните практики по обработване на данни.
ISO/IEC 27018:2019 Информационни технологии. Методи за сигурност. Кодекс за добра практика за защита на лични данни в обществени облаци, действащи като администратори на лични данни
Внедряване на управленски стандарти
КОНСЕХО ЕООД (CONSEJO) е консултантска фирма, сформирана от екип консултанти с над 15 годишен опит по системи за управление в областта на международните стандарти. Фокусът на фирмата е предоставяне на консултантски услуги при разработване и внедряване на системи за управление, покриващи изискванията на международните стандарти по качеството, околната среда, безопасни условия на труд, сигурност на информацията, добри производствени практики на базата на международните стандарти: ISO 9001, ISO 14001, ISO 45001, ISO 22000, ISO 27001, IFS Food, HACCP и други.
Екипът на КОНСЕХО е участвал в реализирането на проекти във всички отрасли на икономиката. Реализираните проекти от екипа на КОНСЕХО са над 1000, в областите - производство и проектиране, строителство, търговия, информационни и комуникационни технологии, транспорт и спедиция, хотелиерство и ресторантьорство, специална продукция, енергетика, дизайн, хранително-вкусова промишленост, услуги и др. Във фирмата е изграден стриктен ред за контрол по спазването на договорените изисквания с клиентите, както сроковете на договорите, така и качеството на изпълнение на услугата. Изграденият стил на работа на фирмата се състои в разработване на истински системи за управление, съвместно с нашите клиенти, на базата на провеждане на множество обучения и оказване на пълно съдействие в процеса на внедряване. Чрез подхода си на работа КОНСЕХО осигурява и гарантира безпроблемно сертифициране на изградените системи в изключително кратки срокове.