ISO 27018 איז די פּראַקטיסיז קאָד פֿאַר שוץ פון פּערסאַנאַלי ידענטיפיאַבלע אינפֿאָרמאַציע (PII) אין ציבור וואלקנס. מיר וועלן ויספאָרשן וואָס עס מיטל פֿאַר ביידע פּראַוויידערז און קאַסטאַמערז.
ISO/IEC 27018 איז דער אינטערנאַציאָנאַלער סטאַנדאַרט פֿאַר פּראַטעקטינג פערזענלעכע אינפֿאָרמאַציע אין וואָלקן סטאָרידזש. דער טערמין פֿאַר די פערזענלעכע דאַטן עס קאָווערס איז פּערסנאַלי יידענטאַפייאַבאַל אינפֿאָרמאַציע אָדער PII. ISO 27018 איז אַ קאָוד פון פיר פֿאַר ציבור וואָלקן סערוויס פּראַוויידערז.
ISO 27018 טוט צוויי טינגז:
די עקסטרע קאָנטראָלס זענען נישט באדעקט אין ISO 27002.
ISO 27018 גיט דזשאַנעריק מסכים גיידאַנס וועגן אינפֿאָרמאַציע זיכערהייט קאַטעגאָריעס. דער נאָרמאַל טאַרגאַץ פּראַוויידערז פון ציבור וואָלקן באַדינונגס וואָס אַקט ווי PII פּראַסעסערז.
זייַן הויפּט אַבדזשעקטיווז זענען צו:
לויט IBM Security's 2020 Data Breach Report, 80% פון אַלע דאַטן בריטשיז אַרייַנציען PII. סיקיורינג PII קאָווערס אַ קייט פון מיטלען, עטלעכע פון וואָס איר וועט שוין זיין באַקאַנט מיט. די אַרייַננעמען:
די UK's Information Commissioner's Office (ICO) גיט פולע גיידאַנס וועגן וואָס קאַונץ ווי PII. איר קענען לייענען עס דאָ.
א PII פּראַסעסער איז קיין עפנטלעך וואָלקן סערוויס פּראַסעסער וואָס פּראַסעסאַז פערזענלעכע דאַטן פֿאַר זייער קלייאַנץ. געדענקט אַז דער אָריגינעל קליענט קען זיין די PII קאַנטראָולער, און שאַפֿן באַזונדער לעגאַל אַבלאַגיישאַנז פֿאַר זיי. ISO/IEC 27018 טוט נישט דעקן קיין פון די עקסטרע רעקווירעמענץ.
ISMS.online מאכט באַשטעטיקן און אָנפירונג דיין ISMS ווי גרינג ווי עס קענען באַקומען.
מיר קענען נישט טראַכטן פון קיין פירמע וועמענס דינסט קענען האַלטן אַ ליכט צו ISMS.online.
קענען איר ידענטיפיצירן ווער עמעצער איז פֿון די דאַטן זיי געבן איר? אויב איר קענען, דאָס איז פּערסאַנאַלי ידענטיפיאַבלע אינפֿאָרמאַציע. לויט דעפֿיניציע, PII איז אינפֿאָרמאַציע וואָס קען פֿאַרבינדונג צוריק צו ידענטיפיצירן אַ יחיד. PII קענען אַרייַננעמען:
עס זענען פילע אַדוואַנטידזשיז צו פּראַסעסינג PII דורך די וואָלקן. ניצן וואָלקן סטאָרידזש פֿאַר PII ראַדוסאַז אַפּעריישאַנאַל קאָס קאַמפּערד מיט סטאָרינג דאַטן אויף פּלאַץ. עס אויך מאכט אינפֿאָרמאַציע מער צוטריטלעך ווען איר זענט ווייַט ארבעטן. אָבער וואָלקן דאַטן סטאָרידזש קענען זיין ריזיקאַליש. איר דאַרפֿן צו זיין זיכער אַז אַ וואָלקן שפּייַזער האט דער בעסטער קאָנטראָלס אין פּלאַץ צו האַלטן דיין אינפֿאָרמאַציע זיכער. אויב איר זענט אַ וואָלקן שפּייַזער, איר דאַרפֿן צו ווייַזן דיין קאַסטאַמערז אַז איר האָבן ויסגעצייכנט זיכערהייט קאָנטראָלס.
ISO 27018 קלאסן וואָלקן סערוויס פּראַוויידערז ווי פּראַסעסערז ווען זיי פּראַסעסינג דיין פערזענלעכע דאַטן פון דיין אָרגאַניזאַציע. דיין אָרגאַניזאַציע סטייז קלאַסאַפייד ווי די דאַטן קאָנטראָללער אפילו ווען אַ וואָלקן סערוויס שפּייַזער פּראַסעסאַז דיין דאַטן פֿאַר איר. ביידע פּראַסעסערז און דאַטן קאַנטראָולערז האָבן לעגאַל ריספּאַנסאַבילאַטיז פֿאַר PII שוץ.
די אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סוויווע איז ראַפּאַדלי יוואַלווינג. דער טעכניש סטאַנדאַרד ISO/IEC 27001 טוט נישט אַדרעס PII. אַזוי יסאָ באשאפן אַ נייַע, פּאָזיטיוו סטאַנדאַרט אין 2014, יסאָ 27018. דער נייַ נאָרמאַל אַדרעסז קאַנסערנז וועגן קאָמפּאַניעס פּראַסעסינג פערזענלעכע דאַטן אין וואָלקן סערוויס פּראַוויידערז. ISO/IEC 27018:2020 איז די דריט ווערסיע פון די 2014 דאָקומענט.
ISO/IEC 27018:2020 איז די לעצטע ווערסיע פון ISO 27018. די דיפעראַנסיז צווישן ISO 27018:2019 און ISO 27018:2020 זענען יסענשאַלי טעכניש. פֿאַר אַלע פּראַקטיש צוועקן, איר קענען מייַכל די 2019 און 2020 ווערסיעס פון ISO 27018 ווי יידעניקאַל.
די 2019 ווערסיע פון ISO 27018 כּולל בלויז מינערווערטיק ריוויזשאַנז פֿון די 2014 ווערסיע. די נייַע ווערסיע פון ISO 27018:
דעפינירן ISO 27018 ווי אַ דאָקומענט ניט אַ נאָרמאַל איז מער טעקניקלי פּינטלעך, ווייַל די מסכים סטאַנדאַרט פֿאַר אַ אינפֿאָרמאַציע זיכערהייט מאַנאַגעמענט סיסטעם (ISMS) איז ISO 27001.
ISO האט וויטדראָן ISO/IEC 27018:2014.
איך אַוואַדע וואָלט רעקאָמענדירן ISMS.online, עס מאכט באַשטעטיקן און אָנפירונג דיין ISMS ווי גרינג ווי עס קענען באַקומען.
ISO 27018 איז איינער פון די ISO 27000 משפּחה פון אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סטאַנדאַרדס. די ISO 27000 סטאַנדאַרדס צושטעלן אַן ינטערנאַשאַנאַלי דערקענט ינפאָסעק פריימווערק.
ISO 27001 שטעלט די טעכניש רעקווירעמענץ פֿאַר גרינדן אַן ISMS. נאָכקומען מיט ISO 27001 איז דער יסוד סטאַנדאַרט פֿאַר דאַטן זיכערהייט. ISO 27018 מוסיף גיידאַנס פֿאַר וואָלקן דינסט דאַטן שוץ צו ISO 27001.
אלא ווי צו קלייַבן צווישן ISO 27001 אָדער 27018, טראַכטן וועגן ימפּלאַמענינג זיי צוזאַמען. ISO 27001 איז דער בעסטער פריימווערק פֿאַר קריייטינג אַן ISMS וואָס פאָוקיסיז אויף ריזיקירן פאַרוואַלטונג. ISO 27018 מוסיף גיידאַנס פֿאַר דערגרייכן געזונט זיכערהייט אין די וואָלקן.
ISO 27701 קאָווערס פּריוואַטקייט אינפֿאָרמאַציע פאַרוואַלטונג, באַשטעטיקן רעקווירעמענץ און גיידאַנס פֿאַר ימפּלאַמענינג אַ פּריוואַטקייט אינפֿאָרמאַציע פאַרוואַלטונג סיסטעם (PIMS). דער סטאַנדאַרט אויך גיט גיידאַנס פֿאַר PII קאַנטראָולערז און פּראַסעסערז, אַרייַנגערעכנט ימפּלאַמענטיישאַן עצה דיפּענדינג אויף:
ISO 27701 מאַפּס צו ISO 27018 און די EU GDPR געסעצ - געבונג. עס איז אַן פאַרלענגערונג פון ISO 27001, דער יסוד סטאַנדאַרט פֿאַר דאַטן זיכערהייט.
אויב דיין אָרגאַניזאַציע אַרבעט אין די אייראפעישע יוניאַן, איר מוזן נאָכקומען מיט און אַזוי זאָל זיין אַווער פון GDPR (אַלגעמיינע דאַטאַ פּראַטעקשאַן רעגולירן). עס איז אַן אי.יו. געזעץ (און וק, פּאָסט-ברעקסיט) וואָס רעגיאַלייץ די פּראַסעסינג פון פערזענלעכע דאַטן. GDPR אַפּלייז ניט בלויז צו אי.יו. לענדער. די געזעץ אויך אַפּלייז צו קיין אָרגאַניזאַציע וואָס גיט סכוירע אָדער באַדינונגס אין די אי.יו.
GDPR און ISO 27018 דינען אַ ביסל אַנדערש פאַנגקשאַנז. GDPR שטעלט רעגיאַליישאַנז פֿאַר דאַטן פּריוואַטקייט און שוץ. ISO 27018 גיט איר אַ פּראַקטיש פריימווערק צו פירן דאַטן שוץ און אינפֿאָרמאַציע זיכערהייט ריסקס. ימפּלאַמענטינג ISO 27001, אין קאַנדזשאַנגקשאַן מיט 27018, גיט איר אַ האַרט יסוד פֿאַר GDPR העסקעם.
ISO 27018 פֿאַרבינדונגען צו ISO/IEC 29100. ISO 29100 גיט:
ISO 29100 לינקס צו ISO 27018 דורך:
ISO 29100 אויך יסטאַבלישיז שליסל פּריוואַטקייט פּרינסאַפּאַלז און טערמינאָלאָגיע.
בוך אַ טיילערד האַנט-אויף סעסיע באזירט אויף דיין באדערפענישן און גאָולז.
סייבערסעקוריטי איז אַ מאַסיוו אַרויסגעבן פֿאַר געשעפט בטחון. אין הייַנט ס גלאבאלע מאַרק, פּראַטעקטינג קונה דאַטן איז קיינמאָל געווען מער קריטיש. ISO 27018 קריייץ אַ שטאַרק גלאבאלע העסקעם פריימווערק.
ISO 27018 איז דער הויפּט נוציק פֿאַר וואָלקן סערוויס קלייאַנץ. עס שטיצט אַדאַטינג פֿאַר העסקעם קעגן ינערלעך ריספּאַנסאַבילאַטיז. דאָס איז ספּעציעל נוציק ווען די דאַטן פּראַסעסער איז אַ דריט-פּאַרטיי וואָלקן שפּייַזער.
אנדערע בענעפיץ פון ISO 27018 זענען אַז עס:
דער סטאַנדאַרט איז באַטייַטיק פֿאַר פילע טייפּס פון אָרגאַניזאַציע. צי איר:
אויב איר פּראָצעס פּיי דאַטן דורך וואָלקן קאַמפּיוטינג, ISO 27018 איז פֿאַר איר.
אויב איר קאָנטראַקט PII צו אן אנדער פירמע, רעכט דיליאַנס וועט ווייַזן אויב זיי אַרבעטן מיט ISO/IEC 27018. יעדער דינסט שפּייַזער וואָס ניצט די וואָלקן אָדער PII זאָל באַטראַכטן ISO 27018.
די מערסט באַוווסט וואָלקן סערוויס פּראַוויידערז זענען דעוועלאָפּינג אָדער האָבן דעוועלאָפּעד זיכערהייט מיטלען צו באַשיצן PII. הויפּט ינדאַסטרי פּלייַערס וואָס האָבן שוין ISO / IEC 27018-געהאָרכיק פּאַלאַסיז אַרייַננעמען:
עס זענען דריי געביטן איר זאָל קוקן אין ווען איר טראַכטן וועגן ימפּלאַמענינג ISO 27018:
באַמערקונג אַז די געביטן זענען אויך באדעקט דורך ISO 27001. ISO 27018 פאָוקיסיז מער דיפּלי אויף PII און וואָלקן קאַמפּיוטינג באַדינונגס.
ווען איר אַדאַפּט ISO 27018, עס איז גוט פיר צו אָנהייבן צו פֿאַרשטיין דיין סטאַרטינג פונט. עס איז וויכטיק צו בויען אויף וואָס איז שוין אין פּלאַץ. איר וועט אויך דאַרפֿן צו ידענטיפיצירן קיין גאַפּס וואָס קען פאַרגרעסערן די ריזיקירן פון אַ דאַטן בריטש אין די וואָלקן. א שטרענג זיך-אַסעסמאַנט פּראָצעס וועט דערגרייכן די יימז.
אַמאָל איר האָבן געגרינדעט דיין סטאַרטינג פונט, ינוועסטירן אין ינערלעך קאָמוניקאַציע. געבן דיין חברים אָנזאָג פון קיין פּלאַננעד ענדערונגען און אַרייַנציען זיי אין דיסקוסיעס וועגן וואָס זיי זענען דארף. דאָס וועט העלפֿן איר:
ISO 27018 אַ קאָוד פון פיר, נישט אַ נאָרמאַל. ISO 27018 סערטאַפאַקיישאַן איז בכלל ינקלודעד אין די ISO 27001 קאָנטראָלירן פּראָצעס, אויב עס איז אַרייַנגערעכנט ווי אַן אַדישאַן צו די ISMS.
צו באַקומען סערטאַפאַקיישאַן פֿאַר אַן ISO נאָרמאַל, אַ קאָמפּעטענט אָדיטאָר וועט דורכפירן אַ קאָנטראָלירן. דער אָדיטאָר וועט קאָנטראָלירן אויב די אָרגאַניזאַציע טרעפן די ISO קרייטיריאַ אָדער אויב עס זענען קיין גאַפּס. דאָס איז באקאנט ווי אַ בינע 1 קאָנטראָלירן.
נאָך די קאָנטראָלירן, די אָרגאַניזאַציע וועט האָבן צייט צו אַדרעס קיין גאַפּס אין:
נאָך אַ ביסל וואָכן, דער אַודיטאָר וועט צוריקקומען פֿאַר די בינע 2 קאָנטראָלירן. דאָס איז אַ פיל מער און מער טיף קאָנטראָלירן ווי בינע 1. דיין בינע 2 קאָנטראָלירן וועט ענשור אַז די יסמס איז פאקטיש ארבעטן ווי דיזיינד און ימפּלאַמענאַד.
די אַוואָרדינג פון ISO סערטאַפאַקיישאַן גייט נאָך דעם וויזיט, פּראַוויידינג די ISMS טרעפן אַלע קרייטיריאַ. דער אַודיטאָר וועט באַזוכן די אָרגאַניזאַציע פּיריאַדיקלי (יוזשאַוואַלי אַניואַלי) צו באַשטעטיקן דיין פארבליבן העסקעם. צו האַלטן דיין ISO סערטאַפייד סטאַטוס, איר דאַרפֿן צו פאָרן דיין יערלעך וישאַלט אַדאַץ.
ISO/IEC 27018 יקסטענדז די גיידאַנס פֿאַר ימפּלאַמענינג זיכערהייט קאָנטראָלס אין ISO/IEC 27002. די קאָנטראָלס טיילן די ריספּאַנסאַבילאַטיז פֿאַר דאַטן שוץ אין:
די עקסטענדעד זיכערהייט קאָנטראָלס אַרייַננעמען:
איר וועט אויך דאַרפֿן אַן עקסטרע גאַנג פון זיכערהייט קאָנטראָלס. די ייַנרייען זיך מיט די פּריוואַטקייט פּרינסאַפּאַלז שטעלן אין די ISO / IEC 29100 פּריוואַטקייט פריימווערק. ISO/IEC 27018 אַלאַוז וואָלקן פּראַוויידערז צו באַווייַזן אַז זיי וויסן ווי צו באַשיצן זייער קאַסטאַמערז PII.
אויב דיין אָרגאַניזאַציע פּראַסעסאַז PII, באַטראַכטן ימפּלאַמענינג ISO 27018 צוזאמען מיט אַן ISO 27001 ISMS. אויב איר זענט נאָך טשיקאַווע וועגן די ספּעסיפיקס פון וואָס איז אַרייַנגערעכנט אין דעם באַריכט, דאָ איז די פול רשימה פון ISO 27018 קלאָזיז:
אראפקאפיע דיין פריי פירער
צו סטרימליינינג דיין Infosec
באַמערקונג אַז די רשימה אונטן איז נאָך קאָנטראָלס דיפיינד אין ISO 27001.
פּונקט 1: פאַרנעם
פּונקט 2: נאָרמאַטיווע באַווייַזן
פּונקט 3: טערמינען און דעפֿיניציעס
פּונקט 4: איבערבליק
4.1: סטרוקטור פון דעם דאָקומענט
4.2: קאָנטראָל קאַטעגאָריעס
פּונקט 5: אינפֿאָרמאַציע זיכערהייט פּאַלאַסיז
5.1: פאַרוואַלטונג ריכטונג פֿאַר אינפֿאָרמאַציע זיכערהייט
פּונקט 6: אָרגאַניזאַציע פון אינפֿאָרמאַציע זיכערהייט
6.1: אינערלעכער אָרגאַניזאַציע
6.2: רירעוודיק דעוויסעס און טעלעוואָרקינג
פּונקט 7: מענטשנרעכט ריסאָרס זיכערהייט
7.1: איידער אַרבעט
7.2: בעשאַס באַשעפטיקונג
7.3: טערמאַניישאַן און טוישן פון באַשעפטיקונג
פּונקט 8: אַסעץ פאַרוואַלטונג
פּונקט 9: אַקסעס קאָנטראָל
9.1: געשעפט באדערפענישן פון אַקסעס קאָנטראָל
9.2: באַניצער אַקסעס פאַרוואַלטונג
9.3: באַניצער ריספּאַנסאַבילאַטיז
9.4: סיסטעם און אַפּלאַקיישאַן אַקסעס קאָנטראָל
פּונקט 10: קריפּטאָגראַפי
10.1: קריפּטאָגראַפיק קאָנטראָלס
פּונקט 11: גשמיות און ינווייראַנמענאַל זיכערהייט
11.1: זיכער געביטן
11.2: ויסריכט
פּונקט 12: אָפּעראַציע זיכערהייט
12.1: אַפּעריישאַנאַל פּראָוסידזשערז און ריספּאַנסאַבילאַטיז
12.2: שוץ פון מאַלוואַרע
12.3: באַקקופּ
12.4: לאָגינג און מאָניטאָרינג
12.5: קאָנטראָל פון אַפּעריישאַנאַל ווייכווארג
12.6: טעכניש וואַלנעראַביליטי פאַרוואַלטונג
12.7: אינפֿאָרמאַציע סיסטעמען קאָנטראָלירן קאַנסידעריישאַנז
פּונקט 13: קאָמוניקאַציע זיכערהייט
13.1: נעץ זיכערהייט פאַרוואַלטונג
13.2: אינפֿאָרמאַציע אַריבערפירן
פּונקט 14: סיסטעם אַקוואַזישאַן, אַנטוויקלונג און וישאַלט
פּונקט 15: סאַפּלייער באַציונגען
פּונקט 16: אינפֿאָרמאַציע זיכערהייט אינצידענט פאַרוואַלטונג
16.1: פאַרוואַלטונג פון אינפֿאָרמאַציע זיכערהייט ינסאַדאַנץ און ימפּרווומאַנץ
פּונקט 17: אינפֿאָרמאַציע זיכערהייט אַספּעקץ פון געשעפט קאַנטיניויישאַן פאַרוואַלטונג
פּונקט 18: העסקעם
18.1: העסקעם מיט לעגאַל און קאַנטראַקטשואַל באדערפענישן
18.2: אינפֿאָרמאַציע זיכערהייט באריכטן
באַמערקונג אַז די רשימה אונטן איז נאָך צו קאָנטראָלס דיפיינד אין ISO 27001. אַנעקס א עקסטענדעד קאָנטראָל שטעלן פֿאַר פּיי פּראַסעסער פּובליק וואָלקן פּיי פּראַסעסער פֿאַר פּיי שוץ.
1: אַלגעמיינע
2: צושטימען און ברירה
3: ציל לעגיטימאַטי און באַשרייַבונג
4: זאַמלונג באַגרענעצונג
5: דאַטאַ מינימיזיישאַן
6: באַגרענעצן נוצן, ריטענשאַן און אַנטפּלעקונג
7: אַקיעראַסי און קוואַליטעט
8: אָופּאַננאַס, דורכזעיקייַט און באַמערקן
9: יחיד אָנטייל און אַקסעס
10: אַקאַונטאַביליטי
11: אינפֿאָרמאַציע זיכערהייט
12: פּריוואַטקייט העסקעם
100% פון אונדזער יוזערז דערגרייכן ISO 27001 סערטאַפאַקיישאַן ערשטער מאָל