DE 
NL 
EN 
Organisationen, die Cloud-Dienste anbieten (Infrastruktur oder Plattform oder Software as a Service), sowie die Kunden dieser Cloud-Dienste wollen zunehmend zusätzliche Garantien dafür, dass ihre Daten wirklich gut gesichert sind. Mit den ISO 27017- und ISO 27018-Zertifizierungen von DigiTrust können Unternehmen genau das nachweisen. Beide Normen sind für Cloud-Dienste gedacht und zeigen, dass die Sicherheit von Informationen in der Cloud ordnungsgemäß gesichert ist.
Kontext
ISO 27001 beschreibt die Anforderungen an ein Informationssicherheitsmanagementsystem. Diese Norm bezieht sich auf die Kontrollmaßnahmen in Anhang A. Diese werden in der ISO 27002 weiter ausgeführt. Die ISO 27017 und ISO 27018 basieren auf der ISO 27002. Die Normen sind jedoch unterschiedlich und verfolgen verschiedene Ziele. Die Normen stellen nicht nur sicher, dass die Anbieter von Cloud-Diensten die Daten ihrer Kunden ordnungsgemäß schützen, sondern enthalten auch wichtige Verpflichtungen zur Kommunikation mit den Kunden im Falle von Problemen. Außerdem muss vertraglich festgelegt werden, dass die Daten sicher bleiben und der Anbieter nur mit der Erlaubnis des Kunden auf die Daten zugreifen kann.
ISO 27017 - Sicherheit in der Cloud
Die ISO 27017 stellt Anforderungen an Cloud-Anbieter, aber auch an die Kunden dieser Cloud-Dienste. Die Norm enthält Cloud-spezifische Kontrollmaßnahmen, unabhängig davon, welche Art von Daten verarbeitet wird. Die Norm spricht von "Cloud-Service-Kunden" und von "Cloud-Service-Anbietern". Sowohl für den Kunden als auch für den Anbieter wurden spezifische und allgemeine Anforderungen definiert. ISO 27017 hat 37 Anforderungen zusätzlich zu den Kontrollmaßnahmen von ISO 27002 und sieben weitere Maßnahmen festgelegt.
ISO 27018 - Schutz der Privatsphäre
ISO 27018 ist nur für Cloud-Anbieter gedacht, die personenbezogene Daten verarbeiten (die Norm nennt sie Personally Identifiable Information, PII) und konzentriert sich auf die Sicherheit und den Umgang mit diesen Daten. Denken Sie an persönliche Kundendaten, Gesundheits- und Patienteninformationen oder Informationen über Bürger. Für viele Kunden bietet eine ISO27018-Zertifizierung des Cloud-Dienstanbieters zusätzliche Sicherheit, dass diese sensiblen Daten nicht in die falschen Hände geraten. Die Norm basiert ebenfalls auf ISO27002, enthält jedoch eine Reihe zusätzlicher Managementmaßnahmen, die speziell auf den Schutz personenbezogener Daten abzielen. Dazu gehören Einwilligung, Datenminimierung und Datenschutzbeschwerden. Dies entspricht voll und ganz den Anforderungen des AVG.
Für welche Norm soll ich mich zertifizieren lassen?
Die ISO27001 ist die bekannteste und am meisten nachgefragte Norm, nach der geprüft wird und die DigiTrust im Rahmen der Akkreditierung zertifiziert. Aus diesem Grund wird in Verträgen und Ausschreibungen häufig nach ISO27001 und nicht nach ISO270017 oder ISO27018 gefragt. Dennoch sind diese Normen für Organisationen, die Cloud-Dienste anbieten, und für die Endnutzer dieser Dienste wichtig. In der Regel entscheiden sich Organisationen, die Cloud-Dienste anbieten, für eine Kombination aus ISO 27001 und ISO 27017. Organisationen, die zusätzlich viele personenbezogene Daten verarbeiten, entscheiden sich in der Regel für alle drei Normen. Da beide Normen auf ISO 27002 basieren, ist der Schritt zur Zertifizierung nach ISO27017 und/oder ISO27018 für Organisationen, die bereits nach ISO 27001 zertifiziert sind, recht klein. Die überwiegende Mehrheit der zusätzlichen Maßnahmen ist bereits umgesetzt, unter anderem durch Hosting-Verträge und Auftragsverarbeitungsverträge, müssen aber noch verschärft werden.
Weitere Informationen
Möchten Sie mehr über die Zertifizierungen nach ISO 27017 oder ISO 27018 erfahren? Dann nehmen Sie Kontakt mit den Spezialisten von DigiTrust auf. Rufen Sie 088-2245600 an oder schreiben Sie an info@digitrust.nl.
