iso 27018

iso 27018

Trước những thông tin bị đánh cắp thông tin cá nhân trên Internet. Có phải bạn từng thắc mắc liệu có một hệ thống nào để bảo vệ thông tin cá nhân người dùng hay thông tin doanh nghiệp một cách an toàn không?

Và câu trả lời vô cùng hưu ích cho bạn đó chính là có nhé! Một trong số đó chính là Hệ thống iso 27018. ISO 27018 là tiêu chuẩn quốc tế về bảo vệ thông tin cá nhân trong lưu trữ đám mây. Thuật ngữ cho dữ liệu cá nhân mà nó bao gồm là “Thông tin nhận dạng cá nhân” hoặc PII. ISO 27018 là quy tắc thực hành dành cho các nhà cung cấp dịch vụ đám mây công cộng.

Bài viết dưới đây của Luật Rong Ba sẽ trình bày về iso 27018.

 

ISO 27018 là gì?

Tiêu chuẩn này còn vượt xa ISO 27001; tuy nhiên, điểm nhấn ở đây là bảo vệ thông tin cá nhân PII trong đám mây. Khi một công ty tham gia vào việc sở hữu, kiểm soát hoặc xử lý dữ liệu cá nhân trên đám mây, thì công ty đó phải tuân theo các quy định bổ sung. Các quy định bổ sung này có thể được áp đặt bởi (1) tiêu chuẩn địa lý, ví dụ: Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu hoặc theo (2) tiêu chuẩn ngành, ví dụ: HIPAA (Ngành chăm sóc sức khỏe). Để giải quyết các mối quan tâm bổ sung liên quan đến việc xử lý dữ liệu cá nhân bằng điện toán đám mây, ISO đã tạo ra một tiêu chuẩn mới, ISO / IEC 27018.

Tiêu chuẩn này cung cấp hướng dẫn nhằm đảm bảo rằng các nhà cung cấp dịch vụ đám mây (chẳng hạn như Amazon và Google) đưa ra các biện pháp kiểm soát bảo mật thông tin phù hợp để bảo vệ quyền riêng tư của khách hàng của họ bằng cách bảo mật Thông tin nhận dạng cá nhân PII (Personally Identifiable Information) được giao cho họ.

Tiêu chuẩn sẽ được tuân theo bởi ISO / IEC 27017 bao gồm các góc độ bảo mật thông tin rộng hơn của điện toán đám mây, ngoài quyền riêng tư. Dự án đã nhận được sự hỗ trợ rộng rãi từ các cơ quan tiêu chuẩn quốc gia cùng với Liên minh Bảo mật Đám mây CSA (Cloud Security Alliance).

Đám mây mang lại cho các tổ chức và người tiêu dùng nhiều lợi ích: tiết kiệm chi phí, tính linh hoạt và khả năng truy cập thông tin trên thiết bị di động đứng đầu danh sách. Nó cũng làm tăng mối quan tâm về bảo vệ dữ liệu và quyền riêng tư; đặc biệt là về thông tin nhận dạng cá nhân (PII).

PII bao gồm bất kỳ phần thông tin nào có thể xác định một người dùng cụ thể. Các ví dụ rõ ràng hơn bao gồm tên và chi tiết liên hệ. Như những thứ mà mọi người có thể không dễ dàng nghĩ đến là hồ sơ y tế, địa chỉ IP và bảng sao kê ngân hàng.

Được sử dụng cùng với ISO / IEC 27001, ISO / IEC 27018 ban hành để cho phép các Nhà cung cấp dịch vụ đám mây có cơ sở hạ tầng được chứng nhận theo tiêu chuẩn, cũng như chứng minh cho khách hàng hiện tại và tiềm năng của họ biết rằng dữ liệu của họ được bảo vệ và sẽ không được sử dụng cho bất kỳ mục đích nào mà họ không đưa ra sự đồng ý cụ thể.

Thông tin về Bảo vệ thông tin nhận dạng cá nhân (PII) 

Tiêu chuẩn quốc tế này cung cấp hướng dẫn để đảm bảo rằng các nhà cung cấp dịch vụ đám mây (chẳng hạn như Amazon và Google) thực hiện các biện pháp kiểm soát bảo mật thông tin thích hợp để bảo vệ quyền riêng tư của khách hàng bằng cách bảo vệ thông tin nhận dạng cá nhân (PII) được chỉ định cho họ.
ISO / IEC 27017, tuân theo tiêu chuẩn này, bao gồm một góc nhìn rộng hơn về bảo mật thông tin điện toán đám mây ngoài quyền riêng tư. Dự án đã nhận được sự hỗ trợ rộng rãi từ Cơ quan Tiêu chuẩn Quốc gia và Liên minh Bảo mật Đám mây (CSA).

Lợi ích của Đám mây

Đám mây mang lại nhiều lợi ích cho các tổ chức và người tiêu dùng; như: tiết kiệm chi phí, tính linh hoạt và khả năng truy cập thông tin; trên thiết bị di động xếp hạng nhất. Nó cũng làm dấy lên lo ngại về bảo vệ dữ liệu và quyền riêng tư; đặc biệt là thông tin về thông tin nhận dạng cá nhân (PII). PII chứa bất kỳ thông tin nào có thể xác định một người dùng cụ thể. Ví dụ rõ ràng hơn bao gồm tên và thông tin liên hệ. Mọi người có thể không dễ dàng nghĩ đến hồ sơ y tế; địa chỉ IP và bảng sao kê ngân hàng.

Kết hợp với ISO / IEC 27018 và ISO / IEC 27018; nó cho phép các nhà cung cấp dịch vụ đám mây có cơ sở hạ tầng được chứng nhận tiêu chuẩn; và chứng minh cho khách hàng hiện tại và tiềm năng khả năng biết rằng dữ liệu của họ được bảo vệ; và sẽ không được sử dụng trong tương lai. mục đích với sự đồng ý cụ thể của họ.

ISO / IEC 27018: 2019 – Quy tắc thực hành để bảo vệ thông tin nhận dạng cá nhân (PII) trong các đám mây công cộng

Internet đã thúc đẩy nền kinh tế toàn cầu phát triển vượt bậc, và sự xuất hiện của nhiều thiết bị hay “mọi thứ” được kết nối web khác nhau đẩy nhanh việc cung cấp nhiều lợi ích của công nghệ cho các tổ chức thuộc mọi quy mô. Tuy nhiên, đây là con dao hai lưỡi; trong khi Internet có thể tạo ra tiềm năng to lớn, thì sự gia tăng của nó đã tạo ra nhiều lỗ hổng hơn cho tội phạm mạng. Trên thực tế, người ta ước tính rằng tội phạm mạng trên toàn thế giới tiêu tốn 600 tỷ USD mỗi năm.  

iso 27018
iso 27018

Bảo mật CNTT là một vấn đề gây lo lắng trong thời đại kỹ thuật số, vì các mối đe dọa của nó có thể vô hình, thảm khốc và luôn rình rập. Bộ tiêu chuẩn quốc tế ISO / IEC 27000 đã được giao nhiệm vụ chống lại vấn đề này bằng cách cho phép các tổ chức lọc qua sự hỗn loạn. Một tài liệu trong loạt bài này, ISO / IEC 27018: 2019 – Công nghệ thông tin – Kỹ thuật bảo mật – Quy tắc thực hành để bảo vệ thông tin nhận dạng cá nhân (PII) trong đám mây công cộng Bộ xử lý PII đã được phát hành. Vì bộ tiêu chuẩn ISO / IEC 27000 được định vị xung quanh việc cung cấp một cách tiếp cận hài hòa nhằm xử lý các rủi ro bảo mật CNTT của một tổ chức , nên ISO / IEC 27018: 2019 được kết hợp với một số tiêu chuẩn liên quan khác.

Khi nói đến loạt bài này và việc quản lý rủi ro an ninh mạng ở cấp độ tổ chức, tài liệu chính là ISO / IEC 27001: 2013 – Công nghệ thông tin – Kỹ thuật bảo mật – Hệ thống quản lý an toàn thông tin – Yêu cầu . Tiêu chuẩn này quy định khuôn khổ để thiết lập, triển khai, duy trì và cải tiến liên tục hệ thống quản lý an toàn thông tin (ISMS).

Theo hướng dẫn của tiêu chuẩn, một tổ chức có thể tự định vị để hướng tới sự tiến bộ và ứng phó với môi trường rủi ro ngày càng phát triển của không gian mạng.

Đối với ISO / IEC 27018: 2019 , nó đặt ra “các mục tiêu kiểm soát được chấp nhận phổ biến, các biện pháp kiểm soát và hướng dẫn thực hiện các biện pháp” để bảo vệ thông tin nhận dạng cá nhân (PII) – “bất kỳ thông tin nào có thể được sử dụng để thiết lập mối liên kết giữa thông tin và thông người mà thông tin đó có liên quan, hoặc có hoặc có thể được liên kết trực tiếp hoặc gián tiếp với một thể nhân ”- phù hợp với các nguyên tắc về quyền riêng tư được tìm thấy trong ISO / IEC 29100: 2011 .

ISO / IEC 29100: 2011 – Công nghệ thông tin – Kỹ thuật bảo mật – Khung quyền riêng tư đưa ra khung chính sách chỉ định thuật ngữ phổ biến, xác định các tác nhân và vai trò liên quan trong việc xử lý PII, mô tả các cân nhắc bảo vệ quyền riêng tư và cung cấp các tham chiếu đến các nguyên tắc bảo mật CNTT đã biết.

ISO / IEC 27018: 2019 cũng đề cập đến ISO / IEC 27002: 2013 trong phạm vi của nó, trong đó nó chỉ rõ các hướng dẫn dựa trên tiêu chuẩn quốc tế. ISO / IEC 27002: 2013 – Quy tắc Thực hành về Kỹ thuật An toàn Công nghệ Thông tin Đối với Kiểm soát An toàn Thông tin giúp các tổ chức lựa chọn các biện pháp kiểm soát bảo mật trong khi triển khai ISMS phù hợp với ISO / IEC 27001: 2013 .

Mặc dù so với một số tiêu chuẩn bảo mật công nghệ thông tin khác, ISO / IEC 27018: 2019 lại có một quan điểm hơi khác. Trong khi nhiều tiêu chuẩn được định hướng xung quanh việc bảo vệ tổ chức khỏi tội phạm mạng, ISO / IEC 27018: 2019 hoạt động để bảo vệ thông tin mà khách hàng của tổ chức và các bên liên quan khác đã ủy thác cho tổ chức.

Nó được thiết kế để được sử dụng cùng với các mục tiêu và kiểm soát an toàn thông tin được nêu trong ISO / IEC 27002: 2013để tạo một tập hợp các danh mục và kiểm soát bảo mật chung để nhà cung cấp dịch vụ điện toán đám mây công cộng triển khai. Trong trường hợp này, nhà cung cấp dịch vụ đám mây công cộng đóng vai trò là người xử lý PII hoặc “bên liên quan về quyền riêng tư xử lý PII thay mặt và theo hướng dẫn của người kiểm soát PII.”

Để thực hiện ý định này, ISO / IEC 27018: 2019 , sửa đổi phiên bản 2014 của cùng một tiêu chuẩn quốc tế, nhằm giúp nhà cung cấp dịch vụ đám mây công cộng tuân thủ các nghĩa vụ hiện hành khi hoạt động với tư cách là bộ xử lý PII, cho phép bộ xử lý PII trên đám mây công cộng minh bạch trong các vấn đề liên quan vì lợi ích của khách hàng, hỗ trợ khách hàng sử dụng dịch vụ đám mây và bộ xử lý PII trên đám mây công khai trong việc ký kết thỏa thuận hợp đồng và cung cấp cho khách hàng dịch vụ đám mây khả năng thực hiện các quyền và trách nhiệm kiểm toán và tuân thủ. Với phần cuối cùng này, điều quan trọng là, trong khi tuân thủ ISO / IEC 27018: 2019 , một tổ chức xác định các nhu cầu khác nhau để bảo vệ PII.

Ba nguồn lực chính cần được xác định là rủi ro, chính sách của công ty và các yêu cầu pháp lý, luật định, quy định và hợp đồng. Tất nhiên, những điều này có thể khác nhau giữa tổ chức và địa điểm.

Ví dụ: Quy định chung về bảo vệ dữ liệu (GDPR) đáng chú ý đặt ra các yêu cầu lớn hơn đối với các tổ chức xử lý PII từ các chủ thể dữ liệu cư trú tại Liên minh Châu Âu. Mặc dù ISO / IEC 27018: 2019 thực hiện các biện pháp kiểm soát được tìm thấy trong ISO / IEC 27002: 2013 , nhưng nó tăng cường chúng cho các mục đích của nó.

Nó thực hiện điều này bằng cách cung cấp hướng dẫn triển khai áp dụng cho bảo vệ PII trên đám mây công khai đối với một số biện pháp kiểm soát ISO / IEC 27002: 2013 hiện có. Ngoài ra còn có Phụ lục A trong ISO / IEC 27018: 2019 , bao gồm “Bộ điều khiển mở rộng bộ xử lý PII trên đám mây công cộng để bảo vệ PII”.

Phần này có các biện pháp kiểm soát bổ sung nhằm giải quyết vấn đề bảo vệ PII trên đám mây công khai, chẳng hạn như xóa an toàn các tệp tạm thời và thông báo tiết lộ PII. ISO / IEC 27018: 2019 – Công nghệ thông tin – Kỹ thuật bảo mật – Quy tắc thực hành để bảo vệ thông tin nhận dạng cá nhân (PII) trong đám mây công cộng Bộ xử lý PII có sẵn trên ANSI Webstore.

Nó cũng là một phần của các gói tiêu chuẩn sau:

  • ISO / IEC 27018 / ISO / IEC 29100 / ISO / IEC 27001 – Gói khuôn khổ về quyền riêng tư của đám mây công cộng
  • ISO / IEC 27002 / ISO / IEC 27017 / ISO / IEC 27018 – Kiểm soát bảo mật CNTT cho Gói dịch vụ đám mây
  • ISO / IEC 27001 / ISO / IEC 27018 / BS 10012 – Gói quy định bảo vệ dữ liệu chung

Lộ trình cho công ty chuẩn bị chứng nhận ISO 27018:2019

Tổ chức mong muốn xây dựng hệ thống quản lý môi trường theo tiêu chuẩn ISO 27018:2019 cần thực hiện:

  1. Xây dựng các tài liệu quản lý cần thiết

Với khách hàng có nhu cầu chứng nhận ISO 27018:2019, SIS CERT sẽ cung cấp miễn phí bộ quy trình chuẩn phù hợp với tiêu chuẩn quốc tế. Điều này sẽ giúp cho công ty nhanh chóng xây dựng ISO 27018, không mất chi phí tư vấn soạn thảo tài liệu.

  1. Áp dụng quy trình đã ban hành, các quy trình sau khi soạn thảo, bạn có thể ban hành dưới dạng văn bản giấy hoặc bản điện tử.
  2. Đánh giá, kiểm tra nội bộ ít nhất 1 năm một lần và khắc phục các điểm không phù hợp.
  3. Họp xem xét của lãnh đạo về hệ thống sản xuất tốt
  4. Mời tổ chức SIS CERT đánh giá cấp chứng nhận ISO 27018

Trên đây là một số những khía cạnh liên quan đến về bộ tiêu chuẩn iso 27018 mà Luật Rong Ba đã cung cấp, chúng tôi hy vọng quý khách hàng đã nắm được một phần nào về iso 27018, nếu như quý đọc giả muốn được tư vấn kỹ hơn về bộ tiêu chuẩn này, hãy liên hệ Luật Rong Ba để được tư vấn miễn phí. Chúng tôi chuyên tư vấn các thủ tục pháp lý trọn gói, chất lượng, uy tín mà quý khách đang tìm kiếm.

Recommended For You

About the Author:

Hotline: 0967 741 035
Tư Vấn Online
Gọi: 0967 741 035