ISO 27018:2014
News

Zertifizierung nach ISO/IEC 27018 für Cloud-Dienste

von safe-rkaim
/

In der Broschüre „ISO focus January-February 2015“ mit dem Titel „in the cloud“ erläutert die ISO (International Organization for Standardization) die Notwendigkeit der Entwicklung der neuen Norm „ISO/IEC 27018:2014-08 Informationstechnik – Sicherheitsverfahren – Anwendungsregel für den Schutz von Personenbezogenen Daten in Public Clouds“. Mit dieser im August 2014 veröffentlichen Norm will die ISO weltweit „Ordnung in das Cloud Chaos“ bringen und das Vertrauen der Kunden in die zunehmen kritisch beäugten Cloud Services zurückbringen.

Diese 5 Dinge über die ISO/IEC 27018 sollten Sie aus Sicht der ISO wissen:

  • Die neue ISO 27018 baut auf die bereits existierenden Sicherheitsstandards ISO 27001 und ISO 27002 auf.
  • Die grundlegenden Informationen zu Sicherheitsgrundsätzen und die cloud-spezifischen klaren Anforderungen zum Datenschutz helfen Cloud-Anbietern die Prozesse zu verbessern.
  • Da die neue Norm einen prüfbaren Rahmen für Cloud-Anbieter enthält, können sich diese freiwillig nach der ISO 27018 zertifizieren lassen.
  • Bei der Suche nach einem Cloud-Dienst und der Auswahl eines Anbieters entsteht durch die Zertifikate mehr Transparenz.
  • Da sich zertifizierte Cloud-Anbieter in regelmäßigen Zeitabständen von unabhängigen Stellen erneut prüfen lassen, wird die Nachhaltigkeit der Datensicherheit erhöht.

Die ISO/IEC 27018:2014-08 kommt damit der bereits seit Mitte 2014 auf ihre Verabschiedung durch die Europäische Union wartenden „EU-Datenschutz-Grundverordnung“ (kurz EU-DS-GVO) zuvor. Aktuell wird davon ausgegangen, dass die Reform frühestens Mitte 2015 vom EU-Rat verabschiedet wird und dann nach einer zweijährigen Umsetzungsfrist in allen Mitgliedsstaaten in Kraft treten muss. Mit Umsetzung des neuen 27018-Standards können sich Cloud-Anbieter bereits vorher auf die umfangreichen Benachrichtigungs-, Informations-, Transparenz- und Nachweispflichten vorbereiten, da diese Pflichten auch Gegenstand der zukünftigen europäischen Datenschutzgrundverordnung sind.

So bleibt es spannend zu beobachten, ob diese Norm das durch die Datenschutzskandale in den letzten Monaten verloren gegangene Vertrauen der Anwender in Cloud-Dienste wieder aufbauen helfen kann.