Beitrag

E-world: Energiebranche der Zukunft – Blackout und Datenschleuder oder grün und sicher? Fr 20.02.2015

Jetzt neu: Zertifizierung gem. ISO/IEC 27018 für Cloud-Dienste

Cloud-Computing ist aus der heutigen Welt nicht mehr wegzudenken – nicht nur private Daten werden dort abgelegt und bequem von mehreren Geräten aus bedient, sondern häufig werden auch ganze Geschäftsprozesse über die Cloud abgewickelt. Um Datenschutz- und Datensicherheit beim Cloud-Computing nachweisen zu können, ist 2014 die Norm ISO/IEC 27018 „Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors“ erschienen. Damit kann durch ein ISO-Zertifikat die Umsetzung der Anforderungen dieser Norm dokumentiert werden.

 

Die ISO-Norm 27018 setzt dabei auf ein Informationssicherheits-Managementsystem (ISMS) gem. ISO/IEC 27001 auf, das zertifiziert werden kann. Die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle (DAkkS) entsprechend akkreditiert und darf international gültige Zertifikate erteilen.

ISO 27018 spezialisiert Controls aus ISO 27002 derartig, dass spezifische Anforderungen zum Datenschutz beim Cloud-Computing in ein ISMS aufgenommen werden können. Somit kann ein Zertifikat gem. ISO/IEC 27001 auch den Nachweis für die Erfüllung dieser Spezialnorm erbringen.

Wichtig: Nach dieser Norm kann nicht direkt zertifiziert werden. Zertifiziert wird stets ein ISMS gem. ISO/IEC 27001.

Wie wird nun ISO 27018 in ein ISO 27001-konformes ISMS eingebunden? Im Rahmen der Risikoanalyse werden typischerweise Maßnahmen (sogenannte Controls) herangezogen, um Risiken zu begegnen; diese Auswahl von Maßnahmen wird im sogenannten Statement of Applicability (SOA) fixiert. Das SOA bildet somit den Maßstab für das ISMS. Aus diesem Grund wird das jeweilige SOA auch im Zertifikat explizit referenziert. Meist werden Controls aus der ISO 27002 herangezogen; es lassen sich aber auch andere einschlägige Standards anwenden – beispielsweise ISO/IEC 27018 Dadurch, dass diese Norm dann im SOA aufgeführt ist, ist sie Bestandteil einer Zertifizierung gem. ISO/IEC 27001.

Lesen Sie mehr unter: ISO/IEC 27018.

Von Dr. Sönke Maseberg in der Rubrik cert News