ISO 27018 Personally identifiable information (PII) in de Cloud

In de hedendaagse digitale wereld is de bescherming van persoonlijk identificeerbare informatie (PII) een cruciale kwestie, vooral wanneer deze gegevens worden verwerkt door cloudserviceproviders namens hun klanten. Het naleven van wet- en regelgeving met betrekking tot gegevensbescherming is van essentieel belang om de privacy en veiligheid van individuen te waarborgen. Dit vereist een zorgvuldige aanpak van zowel de cloudserviceproviders als hun klanten, waarbij de verantwoordelijkheden van een PII-verwerker afhankelijk zijn van de juridische context en de contractuele afspraken tussen de partijen. De ISO27018, een beveiligingsstandaard die deel uitmaakt van de ISO27000 serie, helpt hierbij.

Achtergrond en context

Een belangrijk richtsnoer voor organisaties bij het kiezen van PII-beschermingscontroles is de ISO27018. Deze standaard biedt een raamwerk voor het implementeren van beveiligingsmaatregelen in cloudcomputing-informatiebeveiligingsmanagementsystemen, gebaseerd op ISO/IEC 27001. Bovendien fungeert het als een gids voor het implementeren van gangbare PII-beschermingscontroles voor openbare cloud PII-verwerkers. Door deze standaard te volgen, kunnen organisaties de veiligheid van persoonlijke gegevens in de cloud waarborgen en voldoen aan de geldende wet- en regelgeving.

PII-beschermingsvereisten

Het identificeren van PII-beschermingsvereisten is een cruciale eerste stap voor organisaties. Deze vereisten omvatten niet alleen wettelijke en regelgevende verplichtingen, maar ook contractuele afspraken tussen partijen, evenals risico’s en bedrijfsbeleid. Het begrijpen van deze vereisten is essentieel voor het ontwikkelen van effectieve maatregelen om persoonlijke gegevens te beschermen tegen ongeautoriseerde toegang of misbruik.

Selectie en implementatie van controles in een cloudomgeving

Het kiezen en implementeren van geschikte beveiligingscontroles in een cloudomgeving vereist een grondige analyse van de risico’s en de specifieke behoeften van de organisatie. Deze controles kunnen worden afgeleid van standaarden zoals ISO27002, maar kunnen ook worden aangepast of uitgebreid om te voldoen aan de unieke eisen van een organisatie. De keuze van controles moet gebaseerd zijn op een gedegen risicobeoordeling en -beheer, evenals op contractuele afspraken met klanten en leveranciers.

De controlebeschrijvingen zijn als volgt gestructureerd:

  • Controle: Specificeert de controleverklaring om aan het controleobjectief te voldoen.
  • Implementatiehandleiding voor PII-bescherming in de openbare cloud: Biedt gedetailleerde informatie ter ondersteuning van de implementatie van de controle en het bereiken van de controledoelstellingen.
  • Andere informatie voor PII-bescherming in de openbare cloud: Biedt aanvullende informatie die moet worden overwogen, zoals juridische overwegingen en verwijzingen naar andere normen.

Er zijn verschillende controlecategorieën en elke hoofdcategorie bevat een controledoelstelling en een of meer controles om die doelstelling te bereiken.

Andere aspecten van informatiebeveiliging

De ISO27018 behandelt ook andere aspecten van informatiebeveiliging, zoals informatiebeveiligingsbeleid, interne organisatie, HRM, activabeheer, toegangsbeheer, cryptografie, fysieke en omgevingsbeveiliging, operationele beveiliging, communicatiebeveiliging, incidentmanagement en bedrijfscontinuïteitsbeheer. Het benadrukt de noodzaak om deze controles en richtlijnen te implementeren in de context van de openbare cloud, waarbij de bescherming van persoonlijke gegevens een prioriteit blijft.

Levenscyclusoverwegingen

Het beschermen van PII is een doorlopend proces dat de hele levenscyclus van de gegevens omvat, van creatie tot vernietiging. Dit vereist een voortdurende inspanning om de risico’s op alle niveaus te beheren en ervoor te zorgen dat persoonlijke gegevens te allen tijde veilig worden bewaard en gebruikt.

De structuur van de ISO27018

Deze is vergelijkbaar met die van ISO27002. In gevallen waarin doelstellingen en controles gespecificeerd in ISO27002 van toepassing zijn zonder dat er extra informatie nodig is, wordt alleen verwezen naar ISO27002. Let wel op dat hier de ISO 27002:2013 wordt bedoeld. Er is nog geen directe link tussen de ISO27018 en de ISO 27001:2022 versie.

Aanvullende controles en bijbehorende implementatieaanwijzingen die van toepassing zijn op de bescherming van persoonlijk identificeerbare informatie (PII) voor cloudcomputing-serviceproviders, worden beschreven in Bijlage A.

In gevallen waarin controles extra begeleiding nodig hebben die van toepassing is op de bescherming van PII voor cloudcomputing-serviceproviders, wordt dit gegeven door implementatieaanwijzingen te vermelden. In sommige gevallen wordt zelfs verdere relevante informatie die de aanvullende begeleiding versterkt.

Voor de volgende controls wordt GEEN aanvullende sectorspecifieke implementatierichtlijnen of andere informatie verstrekt:

  • A.8 Activabeheer.
  • A.14 Systeemverwerving, ontwikkeling en onderhoud.
  • A.15 Relaties met leveranciers.
  • A.17 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer.

Er wordt sectorspecifieke implementatiebegeleiding gegeven voor:

  • A.6 Organisatie van informatiebeveiliging.
  • A.10 Cryptografie.
  • A.12 Beveiliging van bewerkingen.
  • A.16 Beheer van informatiebeveiligingsincidenten.

Er wordt sectorspecifieke implementatiebegeleiding en andere informatie verstrekt voor:

  • A.5 Informatiebeveiligingsbeleid.
  • A.7 Human Resource Security.

Er worden sectorspecifieke richtlijnen voor de implementatie gegeven, samen met een kruisverwijzing naar controle(s) in bijlage A voor:

  • A.9 Toegangscontrole.
  • A.11 Fysieke beveiliging en beveiliging van de omgeving.
  • A.13 Communicatiebeveiliging.
  • A.18 Naleving.

De ISO27018 moet worden gebruikt in samenhang met ISO27001.