ایزو 27018: امنیت فناوری اطلاعات

استاندارد ایزو 27018 چیست؟

استاندارد ایزو 27018 یک کد عملی است که بر حفاظت از داده‌های شخصی در فضای ابری تمرکز دارد. این استاندارد بر پایه استاندارد امنیت اطلاعات ISO 27002 است که بهترین شیوه‌ها را برای مدیریت امنیت اطلاعات تعریف می‌کند. استاندارد ایزو 27018 راهنمایی‌های پیاده‌سازی کنترل استاندارد ISO 27002 را ارائه می‌کند که برای اطلاعات هویتی شخصی یا PII (Personally Identifiable Information) در ابر عمومی قابل‌اجراست.

ISO 27018 در واقع دستورالعمل‌ها، پیشرفت‌ها و کنترل‌های امنیتی جدیدی را به استانداردهای ISO 27001 و ISO 27002 اضافه می‌کند. این استاندارد به ارائه‌دهندگان خدمات ابری کمک می‌کند تا ریسک‌های امنیت داده منحصربه‌فرد اطلاعات هویتی شخصی در رایانش ابری را بهتر مدیریت کنند.

استاندارد ایزو 27018 یک قانون نیست؛ اما پیروی از دستورالعمل‌های آن و دریافت گواهینامه آن مزایای زیادی دارد.

تاریخچه

استاندارد ISO 27018 برای اولین‌بار در سال ۲۰۱۴ ایجاد شد و آخرین بار در سال ۲۰۱۹ بازبینی شد. تفاوت‌های بین دو نسخه جزئی است و بهترین روش‌ها را برای محافظت از اطلاعات هویتی شخصی در رایانش ابری و برنامه‌های کاربردی ابر عمومی به‌هیچ‌وجه تغییر نمی‌دهد.

همان‌طور که ISO در نسخه ۲۰۱۹ بیان می‌کند، این ویرایش دوم نسخه اول را لغو و جایگزین می‌کند. نسخه ۲۰۱۴ در ادامه توضیح می‌دهد که بازبینی‌ها اساساً برای تصحیح یک اشتباه ویرایشی است. از دیدگاه صدور گواهینامه، استاندارد ایزو 27018 دیگر به‌عنوان یک “استاندارد” در خود سند نامیده نمی‌شود. در عوض، آخرین ویرایش تمام ذکرهای «استاندارد» را با کلمه «سند» جایگزین می‌کند.

توضیح اجمالی

در زبان ساده، استاندارد ISO 27018 مجموعه‌ای از دستورالعمل‌ها و کنترل‌هاست که برای حفاظت از اطلاعات هویتی شخصی در فضای ابری استفاده می‌شود. این استاندارد بهبودی بر روی استاندارد ISO 27001 ایجاد می‌کند و به ارائه‌دهندگان خدمات ابری کمک می‌کند تا با استفاده از دستورالعمل‌های ISO 27018، امنیت داده‌های شخصی را بهبود دهند.

اهمیت استاندارد ISO 27018

یک مطالعه توسط PWC نشان می‌دهد که ۸۵٪ از مصرف‌کنندگان، اگر نگرانی‌هایی درباره اقدامات امنیتی یک شرکت داشته باشند، با آنها تجارت نمی‌کنند. به عبارت ساده، مطابقت با استاندارد ISO 27018 یک مزیت رقابتی برای ارائه‌دهندگان خدمات ابری و مشتریان آنها است.

نحوه انطباق کسب‌وکارها با استاندارد ISO 27018

۱. بهبود عملیات جهانی:

استفاده از استاندارد ISO 27018، به ارائه‌دهندگان خدمات ابری در تضمین اقدامات امنیتی در سطح جهانی کمک می‌کند. این استاندارد در اکثر کشورها به رسمیت شناخته شده است.

۲. بهبود امنیت و حفاظت حقوقی:

داشتن گواهینامه استاندارد ایزو 27018 و ISO 27001 جزئی از ایجاد یک پایه امنیتی برای هر کسب‌وکاری است که اطلاعات را در فضای ابری پردازش می‌کند. پیروی از این استانداردها به شما کمک می‌کند تا ریسک امنیتی را کاهش دهید و در مقابل اتهامات سهل‌انگاری یا بی‌احتیاطی محافظت کنید.

آیا اجرای کنترل‌های استاندارد ISO 27018 ارزش پیاده‌سازی را دارد؟

اگرچه کنترل‌های مشمول استاندارد ISO 27018 قانوناً الزامی نیستند، اما برای ارائه‌دهندگان خدمات ابری که اطلاعات شخصی قابل شناسایی (PII) را پردازش می‌کنند، به ویژه اگر در سطح بین‌المللی فعالیت می‌کنند، واقعاً توصیه می‌شود که این کنترل‌ها را پیاده‌سازی کنند.