iso-27018-zertifizierung-dqs-darstellung mehrerer server bei programmierung

ISO 27018 Zer­ti­fi­zie­rung

Ihre Anfrage


Da­ten­schutz-Stan­dard für Cloud Dienste

ISO/IEC 27018 enthält all­ge­mein an­er­kann­te Maßnahmenziele und Richt­li­ni­en zum Schutz per­so­nen­be­zo­ge­ner Daten im Cloud Com­pu­ting. In­halt­lich baut die Norm auf bereits exis­tie­ren­den Si­cher­heits­stan­dards – ins­be­son­de­re ISO/IEC 27002 – auf. Die An­for­de­run­gen beziehen sich al­ler­dings speziell auf die Re­gu­lie­rung der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten in einer Cloudumgebung. 

Die in­ter­na­tio­na­le Norm gilt für alle Arten und Größen von Or­ga­ni­sa­tio­nen, einschließlich öffentlicher und privater Un­ter­neh­men, Re­gie­rungs­stel­len und gemeinnütziger Or­ga­ni­sa­tio­nen, die im Auftrag anderer Or­ga­ni­sa­tio­nen In­for­ma­ti­ons­ver­ar­bei­tungs­diens­te als PII-Pro­zes­so­ren über Cloud-Com­pu­ting be­reit­stel­len. Die Richt­li­ni­en in diesem Dokument können auch für Or­ga­ni­sa­tio­nen relevant sein, die als PII-Con­trol­ler fun­gie­ren. PII-Con­trol­ler können jedoch zusätzlichen PII-Schutz­ge­set­zen, -vor­schrif­ten und -pflich­ten un­ter­lie­gen, die nicht für PII-Pro­zes­so­ren gelten. Dieses Dokument soll solche zusätzlichen Ver­pflich­tun­gen nicht ab­de­cken.

DIN EN ISO/IEC 27018:2020 ist an­wend­bar für alle Arten und Größen von Or­ga­ni­sa­tio­nen, einschließlich privater und öffentlicher Un­ter­neh­men, Behörden und nicht ge­winn­ori­en­tier­ter Or­ga­ni­sa­tio­nen, welche im Sinne eines PII Pro­zes­sors in­for­ma­ti­ons­ver­ar­bei­ten­de Dienste via Cloud-Com­pu­ting an­bie­ten.

mehr anzeigen
weniger anzeigen

Cloud-Computing-Informationssicherheits-Managementsystem auf der Grundlage von ISO 27001

Implementierung allgemein akzeptierter PII-Schutzkontrollen

Verknüpfung von OECD-Prinzipien zum Schutz der Privatsphäre

Wettbewerbsvorteile durch anerkannten Nachweis

Beschreibung Standard/Regelwerk

In­for­ma­tio­nen zum ISO 27018 Standard

Die An­for­de­run­gen von ISO 27018 sind speziell auf den Schutz per­so­nen­be­zo­ge­ner Daten (en: Per­so­nal­ly Iden­ti­fia­ble Information (PII)) aus­ge­rich­tet. Sie sind ab­ge­stimmt mit den Um­set­zungs­emp­feh­lun­gen aus dem Leit­fa­den für Informationssicherheitsmaßnahmen ISO 27002:2013 und fügen sich damit nahtlos in ein In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tem nach ISO 27001:2013 ein. Beide Normen wurden im Jahr 2022 überarbeitet, was sich be­son­ders auf den Inhalt und die Struktur der Maßnahmen aus Anhang A aus­ge­wirkt hat. ISO/IEC 27018 bezieht sich jedoch wei­ter­hin auf die 2013er-Ver­sio­nen der Normen.

ISO/IEC 27018 legt da­ten­schutz­recht­li­che An­for­de­run­gen für die Anbieter von Cloud Diensten fest und for­mu­liert Überwachungsmechanismen und Richt­li­ni­en für die Im­ple­men­tie­rung von Maßnahmen, die den Schutz per­so­nen­be­zo­ge­ner Daten in einer Cloud-Um­ge­bung si­cher­stel­len sollen. Dabei berücksichtigt die Norm da­ten­schutz­recht­li­che An­for­de­run­gen, die in anderen Be­rei­chen bereits exis­tie­ren und passt diese speziell auf In­for­ma­ti­ons­si­cher­heits­ri­si­ken im Bereich des Cloud Com­pu­ting an.

Die aktuelle Norm wurde im August 2020 vom Deut­schen Institut für Normung (DIN) unter fol­gen­dem Titel veröffentlicht und löste damit die Vorgängerversion DIN ISO/IEC 27018:2017 ab.

DIN EN ISO/IEC 27018:2020-08In­for­ma­ti­ons­tech­nik – Si­cher­heits­ver­fah­ren – Leit­fa­den zum Schutz per­so­nen­be­zo­ge­ner Daten (PII) in öffentlichen Cloud-Diens­ten als Auf­trags­da­ten­ver­ar­bei­tung (ISO/IEC 27018:2019); Deutsche Fassung EN ISO/IEC 27018:2020

DIN EN ISO/IEC 27018 ist beim Beuth Verlag in deut­scher Sprache erhältlich.

Dieser Norm folgt ISO/IEC 27017 (Informationssicherheitsmaßnahmen in Cloud-Diens­ten), die weitere In­for­ma­ti­ons­si­cher­heits­aspek­te des Cloud Com­pu­ting als nur den Da­ten­schutz ab­deckt.

mehr anzeigen
weniger anzeigen
Mehrwert

Welche Vorteile bietet ein in­ter­na­tio­nal zer­ti­fi­zier­ter Cloud Stan­dard?

In der Praxis ist der Einsatz an­er­kann­ter Si­cher­heits­ver­fah­ren ein ent­schei­den­des Kri­te­ri­um für die Auswahl des Cloud An­bie­ters. Dies gilt umso mehr für die Kon­troll­rech­te des Auf­trag­ge­bers im Rahmen einer Auf­trags­da­ten­ver­ar­bei­tung nach § 11 Abs. 2 Nr. 7 BDSG. Mit der Einführung von ISO 27018 besteht für Anbieter von Cloud Diensten die Möglichkeit, ihr Ma­nage­ment­sys­tem speziell auf diese da­ten­schutz­recht­li­chen An­for­de­run­gen aus­zu­rich­ten und be­gut­ach­ten zu las­sen.

Wer darf zertifizieren

Wer darf eine Zer­ti­fi­zie­rung nach ISO 27018 durch­füh­ren?

Um ein In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tem zu zer­ti­fi­zie­ren, muss die je­wei­li­ge Zer­ti­fi­zie­rungs­stel­le selbst nach ISO/IEC 17021 und ISO/IEC 27006 ak­kre­di­tiert sein. Die DQS ist durch die Deutsche Ak­kre­di­tie­rungs­stel­le GmbH (DAkkS) ak­kre­di­tiert und damit be­rech­tigt, Audits und Zer­ti­fi­zie­run­gen sowohl nach ISO/IEC 27001 als auch nach der Norm ISO/IEC 27018 durchzuführen.

Business28.png

Wie läuft eine ISO 27018 Zer­ti­fi­zie­rung ab?

Eine Zertifizierung Ihres Unternehmens wird auf der Basis der internationalen Norm DIN EN ISO/IEC 27001 für ein Informationssicherheits-Managementsystem in Umsetzung von DIN EN ISO/IEC 27018:2020-08 vorgenommen. Sind alle Normanforderungen umgesetzt, können Sie Ihr Managementsystem zertifizieren lassen. Dabei durchlaufen Sie bei der DQS einen mehrstufigen Zertifizierungsprozess. 

Im ersten Schritt tauschen Sie sich mit uns über Ihr Unternehmen, Ihr derzeitige Informationssicherheit und die Ziele einer ISO 27018 Zertifizierung aus. Auf der Basis dieser Gespräche erhalten Sie ein individuelles, auf die Bedürfnisse Ihres Unternehmens zugeschnittenes Angebot.

Gerade bei größeren Zertifizierungsprojekten ist ein Planungsmeeting eine wertvolle Gelegenheit, um Ihren Auditor kennenzulernen sowie ein individuelles Auditprogramm für alle involvierten Bereiche und Standorte zu entwickeln. Ein Voraudit bietet zudem die Möglichkeit, bereits im Vorfeld Verbesserungspotenzial, aber auch Stärken Ihres Managementsystems zu ermitteln. Beide Dienstleistungen sind optional.

Das Zertifizierungsaudit startet mit einer Systemanalyse (Audit Stufe 1) und der Bewertung Ihrer Dokumentation, der Ziele, der Ergebnisse Ihrer Managementbewertung, die Prüfung des Geltungsbereiches und der internen Audits. Dabei stellen wir fest, ob Ihr Managementsystem ausreichend entwickelt und zertifizierungsreif ist.

Im nächsten Schritt (Systemaudit Stufe 2) begutachtet Ihr Auditor vor Ort die Wirksamkeit aller Managementprozesse und ob Sie alle Anforderungen der Norm erfüllen. Dabei wird ein juristischer Fachexperte zum Auditteam hinzugezogen, der die Wirksamkeit des Managementsystems im Hinblick auf die geltenden Datenschutzgesetze beurteilen kann. Die Ergebnisse werden bei einem Abschlussgespräch vorgestellt und bei Bedarf werden Pläne für konkrete Maßnahmen vereinbart.

Nach dem Zertifizierungsaudit werden die Ergebnisse durch die unabhängige Zertifizierungsstelle der DQS bewertet. Sie erhalten einen Auditbericht, der die Auditergebnisse dokumentiert. Sind alle Normanforderungen erfüllt, erhalten Sie eine entsprechende Konformitätsbescheinigung. Ihre Gültigkeit ist an die des zu Grunde liegenden ISO 27001 Zertifikats gekoppelt.

Um sicherzustellen, dass Ihr Unternehmen alle wichtigen Anforderungen auch nach dem Audit erfüllt, führen wir in einem jährlichen Turnus Überwachungsaudits durch. So wird die kontinuierliche Verbesserung Ihres Informationssicherheits-Managementsystems und Ihrer Geschäftsprozesse kompetent begleitet.

Die Konformitätsbescheinigung ist für maximal drei Jahre gültig. Rechtzeitig vor Ablauf wird eine Rezertifizierung durchgeführt, um die fortlaufende Erfüllung der anwendbaren Normanforderungen des IT-Sicherheitskatalogs zu gewährleisten. Bei Erfüllung wird eine neue Konformitätsbescheinigung ausgestellt.

Banking13.png

Was kostet eine ISO 27018 Zer­ti­fi­zie­rung?

Da jedes Un­ter­neh­men andere Vor­aus­set­zun­gen mit­bringt und in­di­vi­du­el­le An­for­de­run­gen an ein Ma­nage­ment­sys­tem stellt, lassen sich die Kosten für das Audit und die Zer­ti­fi­zie­rung nach ISO 27018 auf Basis von ISO 27001 nicht pauschal angeben. Nehmen Sie Kontakt mit uns auf: Wir machen Ihnen auf der Basis einer ob­jek­ti­ven Einschätzung und Ihrer An­for­de­run­gen gern ein maßgeschneidertes An­ge­bot.

Business2.png

Das können Sie von uns erwarten

  • Mehr als 35 Jahre Er­fah­rung in der Zer­ti­fi­zie­rung von Ma­nage­ment­sys­te­men und Pro­zes­sen
  • Bran­chen­er­fah­re­ne Au­di­to­ren und Experten mit ausgeprägter Fachkenntnis
  • Wertschöpfende Ein­bli­cke in Ihr Un­ter­neh­men
  • Zer­ti­fi­ka­te mit in­ter­na­tio­na­ler Ak­zep­tanz
  • Ex­per­ti­se und Zu­las­sun­gen für alle maßgeblichen Standards
  • Persönliche, rei­bungs­lo­se Be­treu­ung durch unsere Spe­zia­lis­ten – re­gio­nal, national und in­ter­na­tio­nal
  • In­di­vi­du­el­le Angebote mit fle­xi­blen Ver­trags­lauf­zei­ten ohne ver­steck­te Kos­ten
mehr anzeigen
weniger anzeigen
philipp tesar-dqs-contact person

An­ge­bots­an­fra­ge

Ihr An­sprech­part­ner Philipp Tesar

„Gerne er­stel­len wir Ihnen ein maßgeschneidertes Angebot für die ISO 27018 Zertifizierung.“

Ihre Anfrage

Sie haben Fragen?

Wir sind für Sie da.
Kontaktieren Sie uns