Tiêu chuẩn bảo vệ dữ liệu cho dịch vụ đám mây
Tiêu chuẩn quốc tế áp dụng cho mọi loại hình và quy mô tổ chức, bao gồm cả công ty và tư nhân, cơ quan chính phủ và tổ chức phi lợi nhuận cung cấp dịch vụ xử lý thông tin dưới dạng bộ xử lý PII thông qua điện toán đám mây thay mặt cho các tổ chức khác. Các hướng dẫn trong tài liệu này cũng có thể phù hợp với các tổ chức đóng vai trò là người kiểm soát PII. Tuy nhiên, bộ điều khiển PII có thể phải tuân theo các luật, quy định và nghĩa vụ bảo vệ PII bổ sung không áp dụng cho bộ xử lý PII. Tài liệu này không nhằm mục đích bao gồm các nghĩa vụ bổ sung như vậy.
ISO/IEC 27018:2020 có thể áp dụng cho mọi loại hình và quy mô tổ chức, bao gồm các công ty tư nhân và nhà nước, cơ quan chính phủ và tổ chức phi lợi nhuận cung cấp dịch vụ xử lý thông tin qua điện toán đám mây theo nghĩa bộ xử lý PII.
Hệ thống quản lý an toàn thông tin điện toán đám mây theo tiêu chuẩn ISO 27001
Triển khai các biện pháp kiểm soát bảo vệ PII được chấp nhận chung
Liên kết với các nguyên tắc bảo mật của OECD
Tuân thủ được quốc tế công nhận mang lại lợi thế cạnh tranh
Thông tin về tiêu chuẩn ISO 27018
ISO/IEC 27018 quy định cụ thể các yêu cầu bảo vệ dữ liệu dành cho nhà cung cấp dịch vụ đám mây, đồng thời xây dựng các cơ chế giám sát và hướng dẫn triển khai các biện pháp kiểm soát nhằm đảm bảo bảo vệ dữ liệu cá nhân trong môi trường đám mây. Khi làm như vậy, tiêu chuẩn sẽ tính đến các yêu cầu bảo vệ dữ liệu đã tồn tại trong các lĩnh vực khác và điều chỉnh chúng một cách cụ thể cho các rủi ro bảo mật thông tin trong lĩnh vực điện toán đám mây.
Tiêu chuẩn hiện tại được xuất bản vào tháng 8 năm 2020 bởi G
ISO/IEC 27018:2019 Công nghệ thông tin — Kỹ thuật bảo mật — Quy tắc thực hành để bảo vệ thông tin nhận dạng cá nhân (PII) trong các đám mây công cộng đóng vai trò là bộ xử lý PII có sẵn trên trang Website ISO
Tiêu chuẩn này tuân theo ISO/IEC 27017 (Kiểm soát bảo mật thông tin cho dịch vụ đám mây), bao gồm các khía cạnh bảo mật thông tin khác của điện toán đám mây ngoài quyền riêng tư dữ liệu.
Ưu điểm của tiêu chuẩn ISO 27018 được chứng nhận quốc tế là gì?
Ai được phép chứng nhận theo ISO 27018?
Quy trình đánh giá chứng nhận ISO 27018 như thế nào?
Công ty của bạn sẽ được chứng nhận trên cơ sở tiêu chuẩn quốc tế ISO/IEC 27001 cho hệ thống quản lý an ninh thông tin được triển khai theo ISO/IEC 27018:2019. Khi tất cả các yêu cầu tiêu chuẩn đã được thực hiện, bạn có thể chứng nhận hệ thống quản lý của mình. Bạn sẽ trải qua quá trình chứng nhận nhiều giai đoạn tại DQS.
Trong bước đầu tiên, bạn sẽ thảo luận về công ty của mình, bảo mật thông tin hiện tại của bạn và các mục tiêu của chứng nhận ISO 27018. Dựa trên những cuộc thảo luận này, bạn sẽ nhận được một báo giá phù hợp với nhu cầu của công ty bạn.
Đánh giá chứng nhận bắt đầu bằng phân tích hệ thống (giai đoạn đánh giá 1) và đánh giá tài liệu, mục tiêu, kết quả đánh giá quản lý của bạn, đánh giá phạm vi và đánh giá nội bộ. Trong quá trình này, chúng tôi xác định xem hệ thống quản lý của bạn đã được phát triển đầy đủ và sẵn sàng để chứng nhận hay chưa.
Trong bước tiếp theo (giai đoạn 2), chuyên gia đánh giá DQS của bạn đánh giá hiệu quả của tất cả các quy trình quản lý tại chỗ để xác định xem bạn có đáp ứng tất cả các yêu cầu của tiêu chuẩn hay không. Một chuyên gia pháp lý được bổ sung vào nhóm đánh giá để đánh giá tính hiệu quả của hệ thống quản lý liên quan đến luật bảo mật dữ liệu hiện hành. Các kết quả được trình bày tại cuộc họp bế mạc và nếu cần, các kế hoạch cho các biện pháp cụ thể sẽ được thống nhất.
Sau đợt đánh giá chứng nhận, kết quả được đánh giá bởi hội đồng chứng nhận độc lập của DQS. Bạn sẽ nhận được báo cáo đánh giá ghi lại kết quả đánh giá. Nếu tất cả các yêu cầu tiêu chuẩn được đáp ứng, bạn sẽ nhận được chứng nhận phù hợp tương ứng. Hiệu lực của nó được liên kết với hiệu lực của chứng chỉ ISO 27001 cơ bản.
Để đảm bảo rằng công ty của bạn tiếp tục đáp ứng tất cả các yêu cầu quan trọng sau cuộc đánh giá, chúng tôi tiến hành đánh giá giám sát hàng năm. Điều này cung cấp hỗ trợ có thẩm quyền để cải tiến liên tục hệ thống quản lý bảo mật thông tin và quy trình kinh doanh của bạn.
Chứng chỉ ISO/IEC 27018 có hiệu lực tối đa là ba năm. Việc tái chứng nhận được thực hiện kịp thời trước khi hết hạn để đảm bảo tuân thủ liên tục các yêu cầu tiêu chuẩn hiện hành của danh mục bảo mật CNTT. Sau khi tuân thủ, một giấy chứng nhận phù hợp mới được cấp.