Datenschutz-Standard für Cloud Dienste

ISO/IEC 27018 enthält allgemein anerkannte Maßnahmenziele und Richtlinien zum Schutz personenbezogener Daten im Cloud Computing. Inhaltlich baut die Norm auf bereits existierenden Sicherheitsstandards – insbesondere ISO/IEC 27002 – auf. Die Anforderungen beziehen sich allerdings speziell auf die Regulierung der Verarbeitung von personenbezogenen Daten in einer Cloudumgebung. 

Die internationale Norm gilt für alle Arten und Größen von Organisationen, einschließlich öffentlicher und privater Unternehmen, Regierungsstellen und gemeinnütziger Organisationen, die im Auftrag anderer Organisationen Informationsverarbeitungsdienste als PII-Prozessoren über Cloud-Computing bereitstellen. Die Richtlinien in diesem Dokument können auch für Organisationen relevant sein, die als PII-Controller fungieren. PII-Controller können jedoch zusätzlichen PII-Schutzgesetzen, -vorschriften und -pflichten unterliegen, die nicht für PII-Prozessoren gelten. Dieses Dokument soll solche zusätzlichen Verpflichtungen nicht abdecken.


DIN EN ISO/IEC 27018:2020 ist anwendbar für alle Arten und Größen von Organisationen, einschließlich privater und öffentlicher Unternehmen, Behörden und nicht gewinnorientierter Organisationen, welche im Sinne eines PII Prozessors informationsverarbeitende Dienste via Cloud-Computing anbieten.

mehr anzeigen
weniger anzeigen

Cloud-Computing-Informationssicherheits-Managementsystem auf der Grundlage von ISO 27001

Implementierung allgemein akzeptierter PII-Schutzkontrollen

Verknüpfung von OECD-Prinzipien zum Schutz der Privatsphäre

Wettbewerbsvorteile durch anerkannten Nachweis

Beschreibung Standard/Regelwerk
Loading...

Informationen zum ISO 27018 Standard

Die Anforderungen von ISO 27018 sind speziell auf den Schutz personenbezogener Daten (en: Personally Identifiable Information (PII)) ausgerichtet. Sie sind abgestimmt mit den Umsetzungsempfehlungen aus dem Leitfaden für Informationssicherheitsmaßnahmen ISO 27002:2013 und fügen sich damit nahtlos in ein Informationssicherheits-Managementsystem nach ISO 27001:2013 ein. Beide Normen wurden im Jahr 2022 überarbeitet, was sich besonders auf den Inhalt und die Struktur der Maßnahmen aus Anhang A ausgewirkt hat. ISO/IEC 27018 bezieht sich jedoch weiterhin auf die 2013er-Versionen der Normen.

ISO/IEC 27018 legt datenschutzrechtliche Anforderungen für die Anbieter von Cloud Diensten fest und formuliert Überwachungsmechanismen und Richtlinien für die Implementierung von Maßnahmen, die den Schutz personenbezogener Daten in einer Cloud-Umgebung sicherstellen sollen. Dabei berücksichtigt die Norm datenschutzrechtliche Anforderungen, die in anderen Bereichen bereits existieren und passt diese speziell auf Informationssicherheitsrisiken im Bereich des Cloud Computing an.

Die aktuelle Norm wurde im August 2020 vom Deutschen Institut für Normung (DIN) unter folgendem Titel veröffentlicht und löste damit die Vorgängerversion DIN ISO/IEC 27018:2017 ab.

DIN EN ISO/IEC 27018:2020-08
Informationstechnik – Sicherheitsverfahren – Leitfaden zum Schutz personenbezogener Daten (PII) in öffentlichen Cloud-Diensten als Auftragsdatenverarbeitung (ISO/IEC 27018:2019); Deutsche Fassung EN ISO/IEC 27018:2020

DIN EN ISO/IEC 27018 ist beim Beuth Verlag in deutscher Sprache erhältlich.

Dieser Norm folgt ISO/IEC 27017 (Informationssicherheitsmaßnahmen in Cloud-Diensten), die weitere Informationssicherheitsaspekte des Cloud Computing als nur den Datenschutz abdeckt.

mehr anzeigen
weniger anzeigen
Mehrwert
Loading...

Welche Vorteile bietet ein international zertifizierter Cloud Standard?

In der Praxis ist der Einsatz anerkannter Sicherheitsverfahren ein entscheidendes Kriterium für die Auswahl des Cloud Anbieters. Dies gilt umso mehr für die Kontrollrechte des Auftraggebers im Rahmen einer Auftragsdatenverarbeitung nach § 11 Abs. 2 Nr. 7 BDSG. Mit der Einführung von ISO 27018 besteht für Anbieter von Cloud Diensten die Möglichkeit, ihr Managementsystem speziell auf diese datenschutzrechtlichen Anforderungen auszurichten und begutachten zu lassen.

Wer darf zertifizieren
Loading...

Wer darf eine Zertifizierung nach ISO 27018 durchführen?

Um ein Informationssicherheits-Managementsystem zu zertifizieren, muss die jeweilige Zertifizierungsstelle selbst nach ISO/IEC 17021 und ISO/IEC 27006 akkreditiert sein. Die DQS ist durch die Deutsche Akkreditierungsstelle GmbH (DAkkS) akkreditiert und damit berechtigt, Audits und Zertifizierungen sowohl nach ISO/IEC 27001 als auch nach der Norm ISO/IEC 27018 durchzuführen.

Business28.png
Loading...

Wie läuft eine ISO 27018 Zertifizierung ab?

Eine Zertifizierung Ihres Unternehmens wird auf der Basis der internationalen Norm DIN EN ISO/IEC 27001 für ein Informationssicherheits-Managementsystem in Umsetzung von DIN EN ISO/IEC 27018:2020-08 vorgenommen. Sind alle Normanforderungen umgesetzt, können Sie Ihr Managementsystem zertifizieren lassen. Dabei durchlaufen Sie bei der DQS einen mehrstufigen Zertifizierungsprozess. 

Im ersten Schritt tauschen Sie sich mit uns über Ihr Unternehmen, Ihr derzeitige Informationssicherheit und die Ziele einer ISO 27018 Zertifizierung aus. Auf der Basis dieser Gespräche erhalten Sie ein individuelles, auf die Bedürfnisse Ihres Unternehmens zugeschnittenes Angebot.

Gerade bei größeren Zertifizierungsprojekten ist ein Planungsmeeting eine wertvolle Gelegenheit, um Ihren Auditor kennenzulernen sowie ein individuelles Auditprogramm für alle involvierten Bereiche und Standorte zu entwickeln. Ein Voraudit bietet zudem die Möglichkeit, bereits im Vorfeld Verbesserungspotenzial, aber auch Stärken Ihres Managementsystems zu ermitteln. Beide Dienstleistungen sind optional.

Das Zertifizierungsaudit startet mit einer Systemanalyse (Audit Stufe 1) und der Bewertung Ihrer Dokumentation, der Ziele, der Ergebnisse Ihrer Managementbewertung, die Prüfung des Geltungsbereiches und der internen Audits. Dabei stellen wir fest, ob Ihr Managementsystem ausreichend entwickelt und zertifizierungsreif ist.

Im nächsten Schritt (Systemaudit Stufe 2) begutachtet Ihr Auditor vor Ort die Wirksamkeit aller Managementprozesse und ob Sie alle Anforderungen der Norm erfüllen. Dabei wird ein juristischer Fachexperte zum Auditteam hinzugezogen, der die Wirksamkeit des Managementsystems im Hinblick auf die geltenden Datenschutzgesetze beurteilen kann. Die Ergebnisse werden bei einem Abschlussgespräch vorgestellt und bei Bedarf werden Pläne für konkrete Maßnahmen vereinbart.

Nach dem Zertifizierungsaudit werden die Ergebnisse durch die unabhängige Zertifizierungsstelle der DQS bewertet. Sie erhalten einen Auditbericht, der die Auditergebnisse dokumentiert. Sind alle Normanforderungen erfüllt, erhalten Sie eine entsprechende Konformitätsbescheinigung. Ihre Gültigkeit ist an die des zu Grunde liegenden ISO 27001 Zertifikats gekoppelt.

Um sicherzustellen, dass Ihr Unternehmen alle wichtigen Anforderungen auch nach dem Audit erfüllt, führen wir in einem jährlichen Turnus Überwachungsaudits durch. So wird die kontinuierliche Verbesserung Ihres Informationssicherheits-Managementsystems und Ihrer Geschäftsprozesse kompetent begleitet.

Die Konformitätsbescheinigung ist für maximal drei Jahre gültig. Rechtzeitig vor Ablauf wird eine Rezertifizierung durchgeführt, um die fortlaufende Erfüllung der anwendbaren Normanforderungen des IT-Sicherheitskatalogs zu gewährleisten. Bei Erfüllung wird eine neue Konformitätsbescheinigung ausgestellt.

Banking13.png
Loading...

Was kostet eine ISO 27018 Zertifizierung?

Da jedes Unternehmen andere Voraussetzungen mitbringt und individuelle Anforderungen an ein Managementsystem stellt, lassen sich die Kosten für das Audit und die Zertifizierung nach ISO 27018 auf Basis von ISO 27001 nicht pauschal angeben. Nehmen Sie Kontakt mit uns auf: Wir machen Ihnen auf der Basis einer objektiven Einschätzung und Ihrer Anforderungen gern ein maßgeschneidertes Angebot.

Business2.png
Loading...

Das können Sie von uns erwarten

  • Mehr als 35 Jahre Erfahrung in der Zertifizierung von Managementsystemen und Prozessen
  • Branchenerfahrene Auditoren und Experten mit ausgeprägter Fachkenntnis
  • Wertschöpfende Einblicke in Ihr Unternehmen
  • Zertifikate mit internationaler Akzeptanz
  • Expertise und Zulassungen für alle maßgeblichen Standards
  • Persönliche, reibungslose Betreuung durch unsere Spezialisten – regional, national und international
  • Individuelle Angebote mit flexiblen Vertragslaufzeiten ohne versteckte Kosten
mehr anzeigen
weniger anzeigen
Loading...

Angebotsanfrage

Ihre Ansprechpartnerin Regine Bullon

"Gerne erstellen wir Ihnen ein maßgeschneidertes Angebot für die ISO 27018 Zertifizierung."