DIN EN ISO/IEC 27018

Sie suchen praxisgerechte Lösungen für IT-Sicherheit und Datenschutz?
– Wir liefern Ihnen die Lösung!

✓ TÜV-geprüft und zertifiziert

persönliche Beratung

Zuverlässiger Datenschutz auch in der Cloud


DatenschutzInDerCloud

Der Schutz der eigenen Daten ist in der heutigen Zeit nach wie vor ein sehr wichtiges Thema.

Zu jeder Zeit und von jedem Ort aus kann über Cloud-Server auf abgelegte Dateien zugegriffen werden, weshalb es umso wichtiger ist, diese Daten vor ungewolltem Fremdzugriff zu bewahren.

Eine mögliche Anleitung zum Schutz von Daten in der Cloud stellt die ISO/IEC 27018 dar.

Worum geht es in der ISO/IEC 27018?


Im August 2014 wurde die erste Version der Norm für Datenschutz in Cloud-Diensten herausgegeben. Als aktuelle Version dieses Regelwerks die ISO/IEC 27018:2019 (Stand Februar 2021).

Grundsätzlich ist die ISO/IEC 27018 als Erweiterung der Informationssicherheitsnorm 27001 zu sehen. Die ISO/IEC 27018 legt Standards fest, die dabei helfen sollen, verantwortungsvoll mit der Verarbeitung von personenbezogenen Daten in einer Cloud umzugehen.

Vorteile einer ISO/IEC 27018 Zusatz-Zertifizierung


Mit Hilfe eines aussagekräftigen und anerkannten Zusatzzertifikats können Sie Ihre angebotenen Dienste noch attraktiver machen. Schließlich erfüllen Sie dadurch im Regelfall mehr Sicherheitskriterien als die durchschnittliche Konkurrenz.

In der Norm ISO/IEC 27018 sind datenschutzrechtliche Anforderungensystematisierbare Überwachungsmaßnahmen sowie Richtlinien zur Implementierung datenschützender Methoden enthalten.

Alle diese Aspekte sollen die abgelegten personenbezogenen Daten in Cloud-Services vor Schaden durch Dritte bewahren.

  • Stärkung des Kundenvertrauens
    Sobald Sie die Handlungsanweisungen nach ISO/IEC 27018 umgesetzt haben, sorgen Sie einerseits für einen systematisierten Handlungsstandard für den Umgang mit personenbezogenen Daten und sichern sich damit andererseits das Vertrauen Ihrer Kunden.
  • Erhöhte Sicherheit der Daten
    Durch ein definiertes Standardvorgehen beim Umgang mit personenbezogenen Daten können Verwaltungsfehler minimiert werden. Geben Sie Ihren Mitarbeitern eine Anleitung an die Hand mit welcher sie sensible Daten leichter handhaben können.

Wichtige Aspekte der SIO/IEC 27018


In der Norm zur Regulierung der Verarbeitung von personenbezogenen Daten sind viele verschiedene Thematiken berücksichtigt.

Einige dieser Aspekte sind unter anderem auch im Artikel 28 der DSGVO hinterlegt.

  • Verarbeiten Sie personenbezogene Daten nur nach ausdrücklicher Zustimmung und nach den Vorgaben Ihrer Kundschaft. Zusätzlich müssen Kunden benachrichtigt werden, falls eine Verarbeitung durch weitere Dritte stattfinden sollte.
  • Kunden müssen zu jeder Zeit Zugang zu ihren Daten besitzen und die Möglichkeit haben diese nach Ihren Wünschen zu verändern oder zu löschen.
  • Die Nutzung der personenbezogenen Daten zu eigenen Zwecken (wie beispielsweise Marketing oder Werbung) wird untersagt, außer der Kunde willigt ausdrücklich ein.
  • Cloud-Dienst-Provider müssen Prozesse definieren mit welchen die Rückgabe, Übermittlung, Transfer und Löschung der personenbezogenen Daten geregelt wird.
  • Cloud-Anbieter müssen offenlegen in welchen Ländern die Datenverarbeitung stattfindet.
  • Nach jeder Verletzung der Datensicherheit ist der Kunde durch den Provider zu informieren. Ferner sind Zeitpunkt, Art und weitere Konsequenzen bei der Datenverletzung schriftlich festzuhalten.
  • Die Herausgabe von personenbezogenen Daten aus strafrechtlichen Gründen darf nur bei vorliegender rechtlicher Verpflichtung durchgeführt werden. Für den Fall, dass es nicht durch gesetzliche Regelungen untersagt ist, hat der Cloud-Provider den Kunden über die Strafverfolgung in Kenntnis zu setzen.

Wie funktioniert eine Überprüfung nach Vorgaben der ISO/IEC 27018?


Wie eingangs bereits erwähnt, ist die ISO/IEC 27018 eine Subnorm der DIN EN ISO/IEC 27001. Eine Zertifizierung nach ISO 27018 kann nur in Verbindung mit bestehenden Zertifikaten nach ISO 27001 und ISO 27017 umgesetzt werden.

Die inhaltlichen Schritte der Zertifizierung bleiben aber gleich:

  1. Beratung
    Lassen Sie uns in einem unverbindlichen Gespräch Ihre Fragen zur Zertifizierung klären und legen bei Interesse die nächsten Schritte fest. Auf Wunsch können wir auch mehrere Zertifizierungen gleichzeitig für Sie durchführen.
  2. Prüfen der Dokumente und Vor-Ort-Audit
    Als nächstes sichtet der Auditor Ihre Dokumentationen zu den Cloudprozessen. Er prüft wie die Prozessvorgaben definiert sind, wie sie in die Tat umgesetzt werden und wie sie laut der ISO/IEC 27018 durchgeführt werden müssten.
  3. Auswertung, Abschlussbericht und Zertifizierung
    Am Ende des Audits wird ein Prüfbericht erstellt und an den zuständigen Zertifizierungsauschuss übergeben. Der Ausschuss entscheidet darüber, ob Sie die Anforderungen erfüllen und das zusätzliche Zertifikat erhalten.

    Sie bekommen Ihren persönlichen Auditbericht außerdem zugeschickt und können anhand dessen nachvollziehen in welchen Bereichen Sie gut abgeschnitten haben und wo noch Nachholbedarf ist.
  4. Weitere Audits
    Alle 12 Monate wird ein Überwachungsaudit von uns durchgeführt um die Qualität der Zertifizierungsmaßnahmen zu überprüfen.
  5. Rezertifizierung
    Nach Ablauf einer Frist von drei Jahren nach der Erstzertifizierung werden Rezertifizierungaudits durchgeführt. Informieren Sie sich gerne auf unserer Seite weiter über die DIN EN ISO/IEC 27001 und die ISO/IEC 27017.