Tuân thủ ISO 27017 & ISO 27018

Thời gian đọc bài 3 phút

Đăng bài TonyPI

Nội dung NQA Global

Tài liệu tuân thủ ISO 27017 & ISO 27018

Các dịch vụ đám mây cung cấp khả năng mở rộng và tính linh hoạt tuyệt vời. Tuy nhiên, đối với một công ty, việc áp dụng các dịch vụ đám mây là một thách thức vì nó gây ra những lo ngại về bảo mật. Mặc dù đã được chứng nhận ISO 27001, nhưng nếu một công ty đang sử dụng hoặc cung cấp các dịch vụ dựa trên đám mây, thì họ phải xem các tiêu chuẩn ISO về Điện toán đám mây có trong cửa hàng dành cho họ.

Sau đây là hai tiêu chuẩn được chú trọng:

ISO / IEC 27017: 2015 - Công nghệ thông tin - Kỹ thuật bảo mật - Quy tắc thực hành về kiểm soát an toàn thông tin dựa trên ISO / IEC 27002 cho các dịch vụ đám mây
ISO / IEC 27018: 2014 - Công nghệ thông tin - Kỹ thuật bảo mật - Quy tắc thực hành để bảo vệ Thông tin nhận dạng cá nhân (PII) trong các đám mây công cộng hoạt động như bộ xử lý PII

ISO / IEC 27017

Tiêu chuẩn này vượt ra ngoài ISO 27001 để giải quyết các mối quan tâm liên quan đến danh tính khách hàng, phân tách tài sản trên máy chủ ảo, làm rõ về phân bổ vai trò và trách nhiệm, sử dụng mật mã và một số biện pháp kiểm soát mới cung cấp hướng dẫn về bảo mật môi trường đám mây. Vì tiêu chuẩn này hướng đến cả hai: Nhà cung cấp dịch vụ đám mây và Khách hàng sử dụng dịch vụ đám mây nên các biện pháp kiểm soát và hướng dẫn triển khai được đề cập riêng cho cả hai, bất cứ khi nào cần thiết. Điều này giúp hiểu và thực hiện các biện pháp kiểm soát đối với công ty tùy theo việc sử dụng các dịch vụ đám mây của họ.

Hình ảnh: Internet

ISO / IEC 27017 cũng giúp một công ty biết những gì họ nên tìm kiếm khi chọn máy chủ lưu trữ đám mây của họ. Việc thực hiện tiêu chuẩn này sẽ hữu ích trong quá trình ra quyết định khi một công ty sử dụng các dịch vụ đám mây. Việc thông qua tiêu chuẩn này có thể hỗ trợ các công ty bảo vệ mình khỏi những cáo buộc hoặc vụ kiện có hại có thể làm gián đoạn hoạt động kinh doanh và làm hỏng thương hiệu của họ.

ISO / IEC 27018

Tiêu chuẩn này cũng vượt xa ISO 27001; tuy nhiên, điểm nhấn ở đây là bảo vệ thông tin cá nhân trong Đám mây. Khi một công ty tham gia vào việc sở hữu, kiểm soát hoặc xử lý dữ liệu cá nhân trên đám mây, thì công ty đó phải tuân theo các quy định bổ sung. Các quy định bổ sung này có thể được áp đặt bởi (1) tiêu chuẩn địa lý, ví dụ: Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu hoặc theo (2) tiêu chuẩn ngành, ví dụ: HIPAA (Ngành chăm sóc sức khỏe). Để giải quyết các mối quan tâm bổ sung liên quan đến việc xử lý dữ liệu cá nhân bằng điện toán đám mây, ISO đã tạo ra một tiêu chuẩn mới, ISO / IEC 27018.

Hình ảnh: Internet

Hiểu một số thuật ngữ được sử dụng trong tiêu chuẩn này.

PII (Personally Identifiable Information): Thông tin nhận dạng cá nhân là bất kỳ dữ liệu nào có khả năng nhận dạng một cá nhân cụ thể. Bất kỳ thông tin nào có thể được sử dụng để phân biệt người này với người khác và có thể được sử dụng để xóa dữ liệu ẩn danh có thể được coi là PII.
Kiểm soát PII (PII Controller): Xác định mục đích và cách thức mà bất kỳ dữ liệu cá nhân nào được hoặc sẽ được xử lý.
Xử lý PII (PII Processor): Xử lý dữ liệu thay mặt và theo hướng dẫn của người kiểm soát PII. (Không phải là nhân viên của bộ điều khiển dữ liệu).
PII gốc (PII Principal): PII liên quan đến ai.

ISO / IEC 27018 xu hướng bảo vệ thông tin cá nhân

Tiêu chuẩn này giúp nhà cung cấp dịch vụ đám mây tuân thủ các nghĩa vụ áp dụng cho họ trong khi hoạt động với tư cách là bên xử lý PII. Khách hàng sử dụng dịch vụ đám mây có thể chọn các dịch vụ xử lý PII dựa trên đám mây, được quản lý tốt. Vì tiêu chuẩn này cũng nhấn mạnh vào việc ghi lại sự phân bổ các vai trò và trách nhiệm liên quan đến PII giữa nhà cung cấp dịch vụ đám mây và khách hàng sử dụng dịch vụ đám mây, nên tiêu chuẩn này sẽ giúp họ ký kết thỏa thuận hợp đồng. Tiêu chuẩn này cũng cung cấp cho khách hàng sử dụng dịch vụ đám mây một cơ chế để thực hiện các quyền và trách nhiệm kiểm toán và tuân thủ.

Việc thực hiện các tiêu chuẩn này làm tăng yếu tố tin cậy vào các sản phẩm / dịch vụ của công ty, mang lại cho họ lợi thế cạnh tranh. Nó sẽ làm giảm các rủi ro đã xác định và cả tiền phạt, trong trường hợp có bất kỳ vi phạm dữ liệu nào.