Normenverzeichnis » Norm: DIN EN ISO/IEC 27018

Änderungsvermerk

Dieses Dokument ersetzt DIN ISO/IEC 27018:2017-08 .

Gegenüber DIN ISO/IEC 27018:2017-08 wurden folgende Änderungen vorgenommen:

  • a) Korrektur eines redaktionellen Fehlers in Anhang A;
  • b) redaktionelle Überarbeitung der Norm.

Hinweise der Redaktion

Titelletzte Änderung
S24-Dienstleistungs- und Produktbeschreibung 17.03.2025 10:55

Beschreibung

In diesem Dokument werden allgemein akzeptierte Kontrollziele, Kontrollen und Richtlinien für die Umsetzung von Maßnahmen zum Schutz personenbezogener Daten (pbD) in Übereinstimmung mit den Datenschutzgrundsätzen in DIN EN ISO/IEC 29100 für die öffentliche Cloud-Computing-Umgebung festgelegt. Insbesondere enthält dieses Dokument Richtlinien, die auf DIN EN ISO/IEC 27002 basieren und die regulatorischen Anforderungen für den Schutz personenbezogener Daten berücksichtigen, die im Kontext der Umgebung(en) mit Informationssicherheitsrisiko(en) eines Anbieters von öffentlichen Cloud-Diensten gelten können.

Dieses Dokument gilt für alle Arten und Größen von Organisationen, einschließlich öffentlicher und privater Unternehmen, Regierungsstellen und gemeinnütziger Organisationen, die im Auftrag anderer Organisationen Informationsverarbeitungsdienste als PbD-Prozessoren über Cloud-Computing bereitstellen.

Die Richtlinien in diesem Dokument können auch für Organisationen relevant sein, die als PbD-Controller fungieren.

PbD-Controller können jedoch zusätzlichen PbD-Schutzgesetzen, -vorschriften und -pflichten unterliegen, die nicht für PbD-Prozessoren gelten. Dieses Dokument soll solche zusätzlichen Verpflichtungen nicht abdecken.

Inhaltsverzeichnis

Nationales Vorwort

Einleitung

  • Hintergrund und Kontext
  • Maßnahmen zum Schutz personenbezogener Daten (pbD) für Public-Cloud-Computing-Dienste
  • Anforderungen zum Schutz personenbezogener Daten (pbD)
  • Auswahl und Umsetzung von Maßnahmen in einer Cloud-Computing-Umgebung
  • Entwicklung weiterer Leitlinien
  • Berücksichtigung von Lebenszyklen

1 Anwendungsbereich

2 Normative Verweisungen

6 Begriffe

  • Bruch der Vertraulichkeit, Integrität oder Verfügbarkeit
  • Datenschutzverletzung, en: data breach
  • personenbezogene Daten (pbD), en: personally identifiable information (PII)
  • verantwortliche Stelle, en: PII controller
  • Betroffene/r, en: PII principal
  • Auftragsdatenverarbeiter, en: PII processor
  • Verarbeitung von personenbezogenen Daten
  • Public-Cloud-Diensteanbieter

Übersicht

  • Aufbau dieses Dokuments
  • Kategorien von Maßnahmen

Informationssicherheitsrichtlinien

  • Managementausrichtung zur Informationssicherheit
    • Richtlinien für die Informationssicherheit
    • Überprüfung der Richtlinien für die Informationssicherheit

Organisation der Informationssicherheit

  • Interne Organisation
    • Mit der Informationssicherheit verbundene Aufgaben und Verantwortlichkeiten
    • Funktionstrennung
    • Kontakt zu Behörden
    • Kontakt zu speziellen Interessengruppen
    • Informationssicherheit im Projektmanagement
  • Mobilgeräte und von zuhause Arbeiten („Teleworking“)

Personalsicherheit

  • Vor Beginn eines Anstellungsverhältnisses
  • Während des Anstellungsverhältnisses
    • Managementverantwortlichkeiten
    • Sensibilisierung, Ausbildung und Schulung zur Informationssicherheit
    • Disziplinarverfahren
  • Beendigung und Änderung des Anstellungsverhältnisses

Verwaltung der Werte

Zugangssteuerung

  • Geschäftliche Anforderungen in Bezug auf die Zugangsprüfung
  • Benutzerzugangsverwaltung
    • Registrierung und Deregistrierung von Benutzern
    • Zuteilung von Benutzerzugängen
    • Verwaltung privilegierter Zugangsrechte
    • Verwaltung geheimer Authentifizierungsdaten von Benutzern
    • Überprüfung von Benutzerzugangsrechten
    • Entzug oder Anpassung von Zugangsrechten
  • Benutzerverantwortlichkeiten
    • Gebrauch geheimer Authentifizierungsdaten
  • Zugangssteuerung für Systeme und Anwendungen
    • Informationszugangsbeschränkung
    • Sichere Anmeldeverfahren
    • System zur Verwaltung von Kennwörtern
    • Gebrauch von Hilfsprogrammen mit privilegierten Rechten
    • Zugangssteuerung für Quellcode von Programmen

Kryptographie

  • Kryptographische Maßnahmen
    • Richtlinie zum Gebrauch von kryptographischen Maßnahmen
    • Schlüsselverwaltung

Physische und umgebungsbezogene Sicherheit

  • Sicherheitsbereiche
  • Geräte und Betriebsmittel
    • Platzierung und Schutz von Geräten und Betriebsmitteln
    • Versorgungseinrichtungen
    • Sicherheit der Verkabelung
    • Instandhaltung von Geräten und Betriebsmitteln
    • Entfernen von Werten
    • Sicherheit von Geräten, Betriebsmitteln und Werten außerhalb der Räumlichkeiten
    • Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln
    • Unbeaufsichtigte Benutzergeräte
    • Richtlinie für eine aufgeräumte Arbeitsumgebung und Bildschirmsperren

Betriebssicherheit

  • Betriebsabläufe und -verantwortlichkeiten
    • Dokumentierte Bedienabläufe
    • Änderungssteuerung
    • Kapazitätssteuerung
    • Trennung von Entwicklungs-, Test- und Betriebsumgebungen
  • Schutz vor Schadsoftware
  • Datensicherung
    • Sicherung von Informationen
  • Protokollierung und Überwachung
    • Ereignisprotokollierung
    • Schutz der Protokollinformation
    • Administratoren- und Bedienerprotokolle
    • Uhrensynchronisation
  • Steuerung von Software im Betrieb
  • Handhabung technischer Schwachstellen
  • Audit von Informationssystemen

Kommunikationssicherheit

  • Netzwerksicherheitsmanagement
  • Informationsübertragung
    • Richtlinien und Verfahren zur Informationsübertragung
    • Vereinbarungen zur Informationsübertragung
    • Elektronische Nachrichtenübermittlung
    • Vertraulichkeits- oder Geheimhaltungsvereinbarungen

Anschaffung, Entwicklung und Instandhaltung von Systemen

Lieferantenbeziehungen

Handhabung von Informationssicherheitsvorfällen

  • Handhabung von Informationssicherheitsvorfällen und Verbesserungen
    • Verantwortlichkeiten und Verfahren
    • Meldung von Informationssicherheitsereignissen
    • Meldung von Schwächen in der Informationssicherheit
    • Beurteilung von und Entscheidung über Informationssicherheitsereignisse(n)
    • Reaktion auf Informationssicherheitsvorfälle
    • Erkenntnisse aus Informationssicherheitsvorfällen
    • Sammeln von Beweismaterial

Informationssicherheitsaspekte beim Business Continuity Management

Compliance

  • Einhaltung von rechtlichen und vertraglichen Anforderungen
  • Überprüfungen der Informationssicherheit
    • Unabhängige Überprüfung der Informationssicherheit
    • Einhaltung von Sicherheitsrichtlinien und -standards
    • Überprüfung der Einhaltung von technischen Vorgaben

Anhang 1 - Erweiterungssatz von durch den Public-Cloud-Auftragsdatenverarbeiter umzusetzenden Datenschutzmaßnahmen (normativ)

  • Allgemeines
  • Einwilligung und Wahlmöglichkeit
    • Verpflichtung zur Zusammenarbeit, wenn es um die Rechte des/der Betroffenen geht
  • Zulässigkeit des Zwecks und Zweckbestimmung
    • Zweck des Public-Cloud-Auftragsverarbeiters von personenbezogenen Daten
    • Kommerzielle Nutzung durch den Public-Cloud-Auftragsdatenverarbeiter
  • Erhebungsbeschränkung
  • Datensparsamkeit
    • Sichere Löschung von temporären Dateien
  • Beschränkung bei der Nutzung, Aufbewahrung und Offenlegung
    • Mitteilung einer Offenlegung personenbezogener Daten
    • Aufzeichnung der Offenlegung von pbD
  • Genauigkeit und Qualität
  • Offenheit, Transparenz und Benachrichtigung
    • Offenlegung der im Unterauftrag ausgeführten Verarbeitung von pbD
  • Persönliche Teilnahme und Zugang
  • Verantwortlichkeit
    • Benachrichtigung über eine personenbezogene Daten betreffende Datenschutzverletzung
    • Aufbewahrungszeitraum für administrative Sicherheitsricht- und -leitlinien
    • Rückgabe, Übertragung und Löschung von pbD
  • Informationssicherheit
    • Vertraulichkeits- oder Geheimhaltungsvereinbarungen
    • Beschränkung der Erstellung von ausgedruckten Materialien
    • Überwachung und Protokollierung von Datenwiederherstellungsprozessen
    • Schutz von Daten auf Datenträgern, die die eigenen Räumlichkeiten verlassen
    • Nutzung von unverschlüsselten tragbaren Speichermedien und Geräten
    • Verschlüsselung von über öffentliche Datenübertragungsnetzwerke gesendeten pbD
    • Sichere Entsorgung von ausgedruckten Materialien
    • Eindeutige Nutzung von User-IDs
    • Datensätze von berechtigten Benutzern
    • Verwaltung von User-IDs
    • Vertragsmaßnahmen
    • Im Unterauftrag erfolgende Verarbeitung von personenbezogenen Daten (pbD)
    • Zugang zu Daten in bereits genutzten Datenspeichern
  • Einhaltung der Datenschutzpflichten
    • Geographischer Standort von pbD
    • Vorgesehener Bestimmungsort von pbD

Literaturhinweise (informativ)

Literaturhinweise (informativ)