Datenschutz-Standard für Cloud Dienste
Die internationale Norm gilt für alle Arten und Größen von Organisationen, einschließlich öffentlicher und privater Unternehmen, Regierungsstellen und gemeinnütziger Organisationen, die im Auftrag anderer Organisationen Informationsverarbeitungsdienste als PII-Prozessoren über Cloud-Computing bereitstellen. Die Richtlinien in diesem Dokument können auch für Organisationen relevant sein, die als PII-Controller fungieren. PII-Controller können jedoch zusätzlichen PII-Schutzgesetzen, -vorschriften und -pflichten unterliegen, die nicht für PII-Prozessoren gelten. Dieses Dokument soll solche zusätzlichen Verpflichtungen nicht abdecken.
DIN EN ISO/IEC 27018:2020 ist anwendbar für alle Arten und Größen von Organisationen, einschließlich privater und öffentlicher Unternehmen, Behörden und nicht gewinnorientierter Organisationen, welche im Sinne eines PII Prozessors informationsverarbeitende Dienste via Cloud-Computing anbieten.
Cloud-Computing-Informationssicherheits-Managementsystem auf der Grundlage von ISO 27001
Implementierung allgemein akzeptierter PII-Schutzkontrollen
Verknüpfung von OECD-Prinzipien zum Schutz der Privatsphäre
Wettbewerbsvorteile durch anerkannten Nachweis
Informationen zum ISO 27018 Standard
ISO/IEC 27018 legt datenschutzrechtliche Anforderungen für die Anbieter von Cloud Diensten fest und formuliert Überwachungsmechanismen und Richtlinien für die Implementierung von Maßnahmen, die den Schutz personenbezogener Daten in einer Cloud-Umgebung sicherstellen sollen. Dabei berücksichtigt die Norm datenschutzrechtliche Anforderungen, die in anderen Bereichen bereits existieren und passt diese speziell auf Informationssicherheitsrisiken im Bereich des Cloud Computing an.
Die aktuelle Norm wurde im August 2020 vom Deutschen Institut für Normung (DIN) unter folgendem Titel veröffentlicht und löste damit die Vorgängerversion DIN ISO/IEC 27018:2017 ab.
DIN EN ISO/IEC 27018:2020-08Informationstechnik – Sicherheitsverfahren – Leitfaden zum Schutz personenbezogener Daten (PII) in öffentlichen Cloud-Diensten als Auftragsdatenverarbeitung (ISO/IEC 27018:2019); Deutsche Fassung EN ISO/IEC 27018:2020
DIN EN ISO/IEC 27018 ist beim Beuth Verlag in deutscher Sprache erhältlich.
Dieser Norm folgt ISO/IEC 27017 (Informationssicherheitsmaßnahmen in Cloud-Diensten), die weitere Informationssicherheitsaspekte des Cloud Computing als nur den Datenschutz abdeckt.
Welche Vorteile bietet ein international zertifizierter Cloud Standard?
Wer darf eine Zertifizierung nach ISO 27018 durchführen?
Wie läuft eine ISO 27018 Zertifizierung ab?
Eine Zertifizierung Ihres Unternehmens wird auf der Basis der internationalen Norm DIN EN ISO/IEC 27001 für ein Informationssicherheits-Managementsystem in Umsetzung von DIN EN ISO/IEC 27018:2020-08 vorgenommen. Sind alle Normanforderungen umgesetzt, können Sie Ihr Managementsystem zertifizieren lassen. Dabei durchlaufen Sie bei der DQS einen mehrstufigen Zertifizierungsprozess.
Im ersten Schritt tauschen Sie sich mit uns über Ihr Unternehmen, Ihr derzeitige Informationssicherheit und die Ziele einer ISO 27018 Zertifizierung aus. Auf der Basis dieser Gespräche erhalten Sie ein individuelles, auf die Bedürfnisse Ihres Unternehmens zugeschnittenes Angebot.
Das Zertifizierungsaudit startet mit einer Systemanalyse (Audit Stufe 1) und der Bewertung Ihrer Dokumentation, der Ziele, der Ergebnisse Ihrer Managementbewertung, die Prüfung des Geltungsbereiches und der internen Audits. Dabei stellen wir fest, ob Ihr Managementsystem ausreichend entwickelt und zertifizierungsreif ist.
Im nächsten Schritt (Systemaudit Stufe 2) begutachtet Ihr Auditor vor Ort die Wirksamkeit aller Managementprozesse und ob Sie alle Anforderungen der Norm erfüllen. Dabei wird ein juristischer Fachexperte zum Auditteam hinzugezogen, der die Wirksamkeit des Managementsystems im Hinblick auf die geltenden Datenschutzgesetze beurteilen kann. Die Ergebnisse werden bei einem Abschlussgespräch vorgestellt und bei Bedarf werden Pläne für konkrete Maßnahmen vereinbart.
Nach dem Zertifizierungsaudit werden die Ergebnisse durch die unabhängige Zertifizierungsstelle der DQS bewertet. Sie erhalten einen Auditbericht, der die Auditergebnisse dokumentiert. Sind alle Normanforderungen erfüllt, erhalten Sie eine entsprechende Konformitätsbescheinigung. Ihre Gültigkeit ist an die des zu Grunde liegenden ISO 27001 Zertifikats gekoppelt.
Um sicherzustellen, dass Ihr Unternehmen alle wichtigen Anforderungen auch nach dem Audit erfüllt, führen wir in einem jährlichen Turnus Überwachungsaudits durch. So wird die kontinuierliche Verbesserung Ihres Informationssicherheits-Managementsystems und Ihrer Geschäftsprozesse kompetent begleitet.
Die Konformitätsbescheinigung ist für maximal drei Jahre gültig. Rechtzeitig vor Ablauf wird eine Rezertifizierung durchgeführt, um die fortlaufende Erfüllung der anwendbaren Normanforderungen des IT-Sicherheitskatalogs zu gewährleisten. Bei Erfüllung wird eine neue Konformitätsbescheinigung ausgestellt.
Was kostet eine ISO 27018 Zertifizierung?
Das können Sie von uns erwarten
- Expertise und Zulassungen für alle maßgeblichen Standards
- Persönliche, reibungslose Betreuung durch unsere Spezialisten – regional, national und international
- Individuelle Angebote mit flexiblen Vertragslaufzeiten ohne versteckte Kosten
ISO 27001 – Controls im neuen Anhang A
Lesen Sie jetzt das kostenfreie Whitepaper von Markus Jegelka, DQS-Normexperte und Produktmanager für ISMS.