- Name:
- DIN EN ISO/IEC 27018
- Titel (Deutsch):
- Informationstechnik - Sicherheitsverfahren - Leitfaden zum Schutz personenbezogener Daten (PII) in öffentlichen Cloud-Diensten als Auftragsdatenverarbeitung
- Titel (Englisch):
- Information technology - Security techniques - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
- letzte Aktualisierung:
- :2020-08
- Seiten:
- 41
- Link (Herausgeber):
- https://dx.doi.org/10.31030/3172303
Änderungsvermerk
Dieses Dokument ersetzt DIN ISO/IEC 27018:2017-08 .
Gegenüber DIN ISO/IEC 27018:2017-08 wurden folgende Änderungen vorgenommen:
- a) Korrektur eines redaktionellen Fehlers in Anhang A;
- b) redaktionelle Überarbeitung der Norm.
Hinweise der Redaktion
Titel | letzte Änderung |
---|---|
S24-Dienstleistungs- und Produktbeschreibung | 17.03.2025 10:55 |
Beschreibung
In diesem Dokument werden allgemein akzeptierte Kontrollziele, Kontrollen und Richtlinien für die Umsetzung von Maßnahmen zum Schutz personenbezogener Daten (pbD) in Übereinstimmung mit den Datenschutzgrundsätzen in DIN EN ISO/IEC 29100 für die öffentliche Cloud-Computing-Umgebung festgelegt. Insbesondere enthält dieses Dokument Richtlinien, die auf DIN EN ISO/IEC 27002 basieren und die regulatorischen Anforderungen für den Schutz personenbezogener Daten berücksichtigen, die im Kontext der Umgebung(en) mit Informationssicherheitsrisiko(en) eines Anbieters von öffentlichen Cloud-Diensten gelten können.
Dieses Dokument gilt für alle Arten und Größen von Organisationen, einschließlich öffentlicher und privater Unternehmen, Regierungsstellen und gemeinnütziger Organisationen, die im Auftrag anderer Organisationen Informationsverarbeitungsdienste als PbD-Prozessoren über Cloud-Computing bereitstellen.
Die Richtlinien in diesem Dokument können auch für Organisationen relevant sein, die als PbD-Controller fungieren.
PbD-Controller können jedoch zusätzlichen PbD-Schutzgesetzen, -vorschriften und -pflichten unterliegen, die nicht für PbD-Prozessoren gelten. Dieses Dokument soll solche zusätzlichen Verpflichtungen nicht abdecken.
Inhaltsverzeichnis
Nationales Vorwort
Einleitung
- Hintergrund und Kontext
- Maßnahmen zum Schutz personenbezogener Daten (pbD) für Public-Cloud-Computing-Dienste
- Anforderungen zum Schutz personenbezogener Daten (pbD)
- Auswahl und Umsetzung von Maßnahmen in einer Cloud-Computing-Umgebung
- Entwicklung weiterer Leitlinien
- Berücksichtigung von Lebenszyklen
1 Anwendungsbereich
2 Normative Verweisungen
6 Begriffe
- Bruch der Vertraulichkeit, Integrität oder Verfügbarkeit
- Datenschutzverletzung, en: data breach
- personenbezogene Daten (pbD), en: personally identifiable information (PII)
- verantwortliche Stelle, en: PII controller
- Betroffene/r, en: PII principal
- Auftragsdatenverarbeiter, en: PII processor
- Verarbeitung von personenbezogenen Daten
- Public-Cloud-Diensteanbieter
Übersicht
- Aufbau dieses Dokuments
- Kategorien von Maßnahmen
Informationssicherheitsrichtlinien
- Managementausrichtung zur Informationssicherheit
- Richtlinien für die Informationssicherheit
- Überprüfung der Richtlinien für die Informationssicherheit
Organisation der Informationssicherheit
- Interne Organisation
- Mit der Informationssicherheit verbundene Aufgaben und Verantwortlichkeiten
- Funktionstrennung
- Kontakt zu Behörden
- Kontakt zu speziellen Interessengruppen
- Informationssicherheit im Projektmanagement
- Mobilgeräte und von zuhause Arbeiten („Teleworking“)
Personalsicherheit
- Vor Beginn eines Anstellungsverhältnisses
- Während des Anstellungsverhältnisses
- Managementverantwortlichkeiten
- Sensibilisierung, Ausbildung und Schulung zur Informationssicherheit
- Disziplinarverfahren
- Beendigung und Änderung des Anstellungsverhältnisses
Verwaltung der Werte
Zugangssteuerung
- Geschäftliche Anforderungen in Bezug auf die Zugangsprüfung
- Benutzerzugangsverwaltung
- Registrierung und Deregistrierung von Benutzern
- Zuteilung von Benutzerzugängen
- Verwaltung privilegierter Zugangsrechte
- Verwaltung geheimer Authentifizierungsdaten von Benutzern
- Überprüfung von Benutzerzugangsrechten
- Entzug oder Anpassung von Zugangsrechten
- Benutzerverantwortlichkeiten
- Gebrauch geheimer Authentifizierungsdaten
- Zugangssteuerung für Systeme und Anwendungen
- Informationszugangsbeschränkung
- Sichere Anmeldeverfahren
- System zur Verwaltung von Kennwörtern
- Gebrauch von Hilfsprogrammen mit privilegierten Rechten
- Zugangssteuerung für Quellcode von Programmen
Kryptographie
- Kryptographische Maßnahmen
- Richtlinie zum Gebrauch von kryptographischen Maßnahmen
- Schlüsselverwaltung
Physische und umgebungsbezogene Sicherheit
- Sicherheitsbereiche
- Geräte und Betriebsmittel
- Platzierung und Schutz von Geräten und Betriebsmitteln
- Versorgungseinrichtungen
- Sicherheit der Verkabelung
- Instandhaltung von Geräten und Betriebsmitteln
- Entfernen von Werten
- Sicherheit von Geräten, Betriebsmitteln und Werten außerhalb der Räumlichkeiten
- Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln
- Unbeaufsichtigte Benutzergeräte
- Richtlinie für eine aufgeräumte Arbeitsumgebung und Bildschirmsperren
Betriebssicherheit
- Betriebsabläufe und -verantwortlichkeiten
- Dokumentierte Bedienabläufe
- Änderungssteuerung
- Kapazitätssteuerung
- Trennung von Entwicklungs-, Test- und Betriebsumgebungen
- Schutz vor Schadsoftware
- Datensicherung
- Sicherung von Informationen
- Protokollierung und Überwachung
- Ereignisprotokollierung
- Schutz der Protokollinformation
- Administratoren- und Bedienerprotokolle
- Uhrensynchronisation
- Steuerung von Software im Betrieb
- Handhabung technischer Schwachstellen
- Audit von Informationssystemen
Kommunikationssicherheit
- Netzwerksicherheitsmanagement
- Informationsübertragung
- Richtlinien und Verfahren zur Informationsübertragung
- Vereinbarungen zur Informationsübertragung
- Elektronische Nachrichtenübermittlung
- Vertraulichkeits- oder Geheimhaltungsvereinbarungen
Anschaffung, Entwicklung und Instandhaltung von Systemen
Lieferantenbeziehungen
Handhabung von Informationssicherheitsvorfällen
- Handhabung von Informationssicherheitsvorfällen und Verbesserungen
- Verantwortlichkeiten und Verfahren
- Meldung von Informationssicherheitsereignissen
- Meldung von Schwächen in der Informationssicherheit
- Beurteilung von und Entscheidung über Informationssicherheitsereignisse(n)
- Reaktion auf Informationssicherheitsvorfälle
- Erkenntnisse aus Informationssicherheitsvorfällen
- Sammeln von Beweismaterial
Informationssicherheitsaspekte beim Business Continuity Management
Compliance
- Einhaltung von rechtlichen und vertraglichen Anforderungen
- Überprüfungen der Informationssicherheit
- Unabhängige Überprüfung der Informationssicherheit
- Einhaltung von Sicherheitsrichtlinien und -standards
- Überprüfung der Einhaltung von technischen Vorgaben
Anhang 1 - Erweiterungssatz von durch den Public-Cloud-Auftragsdatenverarbeiter umzusetzenden Datenschutzmaßnahmen (normativ)
- Allgemeines
- Einwilligung und Wahlmöglichkeit
- Verpflichtung zur Zusammenarbeit, wenn es um die Rechte des/der Betroffenen geht
- Zulässigkeit des Zwecks und Zweckbestimmung
- Zweck des Public-Cloud-Auftragsverarbeiters von personenbezogenen Daten
- Kommerzielle Nutzung durch den Public-Cloud-Auftragsdatenverarbeiter
- Erhebungsbeschränkung
- Datensparsamkeit
- Sichere Löschung von temporären Dateien
- Beschränkung bei der Nutzung, Aufbewahrung und Offenlegung
- Mitteilung einer Offenlegung personenbezogener Daten
- Aufzeichnung der Offenlegung von pbD
- Genauigkeit und Qualität
- Offenheit, Transparenz und Benachrichtigung
- Offenlegung der im Unterauftrag ausgeführten Verarbeitung von pbD
- Persönliche Teilnahme und Zugang
- Verantwortlichkeit
- Benachrichtigung über eine personenbezogene Daten betreffende Datenschutzverletzung
- Aufbewahrungszeitraum für administrative Sicherheitsricht- und -leitlinien
- Rückgabe, Übertragung und Löschung von pbD
- Informationssicherheit
- Vertraulichkeits- oder Geheimhaltungsvereinbarungen
- Beschränkung der Erstellung von ausgedruckten Materialien
- Überwachung und Protokollierung von Datenwiederherstellungsprozessen
- Schutz von Daten auf Datenträgern, die die eigenen Räumlichkeiten verlassen
- Nutzung von unverschlüsselten tragbaren Speichermedien und Geräten
- Verschlüsselung von über öffentliche Datenübertragungsnetzwerke gesendeten pbD
- Sichere Entsorgung von ausgedruckten Materialien
- Eindeutige Nutzung von User-IDs
- Datensätze von berechtigten Benutzern
- Verwaltung von User-IDs
- Vertragsmaßnahmen
- Im Unterauftrag erfolgende Verarbeitung von personenbezogenen Daten (pbD)
- Zugang zu Daten in bereits genutzten Datenspeichern
- Einhaltung der Datenschutzpflichten
- Geographischer Standort von pbD
- Vorgesehener Bestimmungsort von pbD