Dieses Dokument ersetzt DIN ISO/IEC 27018:2017-08 .

Gegenüber DIN ISO/IEC 27018:2017-08 wurden folgende Änderungen vorgenommen:

• a) Korrektur eines redaktionellen Fehlers in Anhang A;
• b) redaktionelle Überarbeitung der Norm.

In diesem Dokument werden allgemein akzeptierte Kontrollziele, Kontrollen und Richtlinien für die Umsetzung von Maßnahmen zum Schutz personenbezogener Daten (pbD) in Übereinstimmung mit den Datenschutzgrundsätzen in DIN EN ISO/IEC 29100 für die öffentliche Cloud-Computing-Umgebung festgelegt. Insbesondere enthält dieses Dokument Richtlinien, die auf DIN EN ISO/IEC 27002 basieren und die regulatorischen Anforderungen für den Schutz personenbezogener Daten berücksichtigen, die im Kontext der Umgebung(en) mit Informationssicherheitsrisiko(en) eines Anbieters von öffentlichen Cloud-Diensten gelten können.

Dieses Dokument gilt für alle Arten und Größen von Organisationen, einschließlich öffentlicher und privater Unternehmen, Regierungsstellen und gemeinnütziger Organisationen, die im Auftrag anderer Organisationen Informationsverarbeitungsdienste als PbD-Prozessoren über Cloud-Computing bereitstellen.

Die Richtlinien in diesem Dokument können auch für Organisationen relevant sein, die als PbD-Controller fungieren.

PbD-Controller können jedoch zusätzlichen PbD-Schutzgesetzen, -vorschriften und -pflichten unterliegen, die nicht für PbD-Prozessoren gelten. Dieses Dokument soll solche zusätzlichen Verpflichtungen nicht abdecken.

Inhaltsverzeichnis

Nationales Vorwort

Einleitung

• Hintergrund und Kontext
• Maßnahmen zum Schutz personenbezogener Daten (pbD) für Public-Cloud-Computing-Dienste
• Anforderungen zum Schutz personenbezogener Daten (pbD)
• Auswahl und Umsetzung von Maßnahmen in einer Cloud-Computing-Umgebung
• Entwicklung weiterer Leitlinien
• Berücksichtigung von Lebenszyklen

1 Anwendungsbereich

2 Normative Verweisungen

6 Begriffe

• Bruch der Vertraulichkeit, Integrität oder Verfügbarkeit
• Datenschutzverletzung, en: data breach
• personenbezogene Daten (pbD), en: personally identifiable information (PII)
• verantwortliche Stelle, en: PII controller
• Betroffene/r, en: PII principal
• Auftragsdatenverarbeiter, en: PII processor
• Verarbeitung von personenbezogenen Daten
• Public-Cloud-Diensteanbieter

Übersicht

• Aufbau dieses Dokuments
• Kategorien von Maßnahmen

Informationssicherheitsrichtlinien

• Managementausrichtung zur Informationssicherheit
  • Richtlinien für die Informationssicherheit
  • Überprüfung der Richtlinien für die Informationssicherheit

Organisation der Informationssicherheit

• Interne Organisation
  • Mit der Informationssicherheit verbundene Aufgaben und Verantwortlichkeiten
  • Funktionstrennung
  • Kontakt zu Behörden
  • Kontakt zu speziellen Interessengruppen
  • Informationssicherheit im Projektmanagement
• Mobilgeräte und von zuhause Arbeiten („Teleworking“)

Personalsicherheit

• Vor Beginn eines Anstellungsverhältnisses
• Während des Anstellungsverhältnisses
  • Managementverantwortlichkeiten
  • Sensibilisierung, Ausbildung und Schulung zur Informationssicherheit
  • Disziplinarverfahren
• Beendigung und Änderung des Anstellungsverhältnisses

Verwaltung der Werte

Zugangssteuerung

• Geschäftliche Anforderungen in Bezug auf die Zugangsprüfung
• Benutzerzugangsverwaltung
  • Registrierung und Deregistrierung von Benutzern
  • Zuteilung von Benutzerzugängen
  • Verwaltung privilegierter Zugangsrechte
  • Verwaltung geheimer Authentifizierungsdaten von Benutzern
  • Überprüfung von Benutzerzugangsrechten
  • Entzug oder Anpassung von Zugangsrechten
• Benutzerverantwortlichkeiten
  • Gebrauch geheimer Authentifizierungsdaten
• Zugangssteuerung für Systeme und Anwendungen
  • Informationszugangsbeschränkung
  • Sichere Anmeldeverfahren
  • System zur Verwaltung von Kennwörtern
  • Gebrauch von Hilfsprogrammen mit privilegierten Rechten
  • Zugangssteuerung für Quellcode von Programmen

Kryptographie

• Kryptographische Maßnahmen
  • Richtlinie zum Gebrauch von kryptographischen Maßnahmen
  • Schlüsselverwaltung

Physische und umgebungsbezogene Sicherheit

• Sicherheitsbereiche
• Geräte und Betriebsmittel
  • Platzierung und Schutz von Geräten und Betriebsmitteln
  • Versorgungseinrichtungen
  • Sicherheit der Verkabelung
  • Instandhaltung von Geräten und Betriebsmitteln
  • Entfernen von Werten
  • Sicherheit von Geräten, Betriebsmitteln und Werten außerhalb der Räumlichkeiten
  • Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln
  • Unbeaufsichtigte Benutzergeräte
  • Richtlinie für eine aufgeräumte Arbeitsumgebung und Bildschirmsperren

Betriebssicherheit

• Betriebsabläufe und -verantwortlichkeiten
  • Dokumentierte Bedienabläufe
  • Änderungssteuerung
  • Kapazitätssteuerung
  • Trennung von Entwicklungs-, Test- und Betriebsumgebungen
• Schutz vor Schadsoftware
• Datensicherung
  • Sicherung von Informationen
• Protokollierung und Überwachung
  • Ereignisprotokollierung
  • Schutz der Protokollinformation
  • Administratoren- und Bedienerprotokolle
  • Uhrensynchronisation
• Steuerung von Software im Betrieb
• Handhabung technischer Schwachstellen
• Audit von Informationssystemen

Kommunikationssicherheit

• Netzwerksicherheitsmanagement
• Informationsübertragung
  • Richtlinien und Verfahren zur Informationsübertragung
  • Vereinbarungen zur Informationsübertragung
  • Elektronische Nachrichtenübermittlung
  • Vertraulichkeits- oder Geheimhaltungsvereinbarungen

Anschaffung, Entwicklung und Instandhaltung von Systemen

Lieferantenbeziehungen

Handhabung von Informationssicherheitsvorfällen

• Handhabung von Informationssicherheitsvorfällen und Verbesserungen
  • Verantwortlichkeiten und Verfahren
  • Meldung von Informationssicherheitsereignissen
  • Meldung von Schwächen in der Informationssicherheit
  • Beurteilung von und Entscheidung über Informationssicherheitsereignisse(n)
  • Reaktion auf Informationssicherheitsvorfälle
  • Erkenntnisse aus Informationssicherheitsvorfällen
  • Sammeln von Beweismaterial

Informationssicherheitsaspekte beim Business Continuity Management

Compliance

• Einhaltung von rechtlichen und vertraglichen Anforderungen
• Überprüfungen der Informationssicherheit
  • Unabhängige Überprüfung der Informationssicherheit
  • Einhaltung von Sicherheitsrichtlinien und -standards
  • Überprüfung der Einhaltung von technischen Vorgaben

Anhang 1 - Erweiterungssatz von durch den Public-Cloud-Auftragsdatenverarbeiter umzusetzenden Datenschutzmaßnahmen (normativ)

• Allgemeines
• Einwilligung und Wahlmöglichkeit
  • Verpflichtung zur Zusammenarbeit, wenn es um die Rechte des/der Betroffenen geht
• Zulässigkeit des Zwecks und Zweckbestimmung
  • Zweck des Public-Cloud-Auftragsverarbeiters von personenbezogenen Daten
  • Kommerzielle Nutzung durch den Public-Cloud-Auftragsdatenverarbeiter
• Erhebungsbeschränkung
• Datensparsamkeit
  • Sichere Löschung von temporären Dateien
• Beschränkung bei der Nutzung, Aufbewahrung und Offenlegung
  • Mitteilung einer Offenlegung personenbezogener Daten
  • Aufzeichnung der Offenlegung von pbD
• Genauigkeit und Qualität
• Offenheit, Transparenz und Benachrichtigung
  • Offenlegung der im Unterauftrag ausgeführten Verarbeitung von pbD
• Persönliche Teilnahme und Zugang
• Verantwortlichkeit
  • Benachrichtigung über eine personenbezogene Daten betreffende Datenschutzverletzung
  • Aufbewahrungszeitraum für administrative Sicherheitsricht- und -leitlinien
  • Rückgabe, Übertragung und Löschung von pbD
• Informationssicherheit
  • Vertraulichkeits- oder Geheimhaltungsvereinbarungen
  • Beschränkung der Erstellung von ausgedruckten Materialien
  • Überwachung und Protokollierung von Datenwiederherstellungsprozessen
  • Schutz von Daten auf Datenträgern, die die eigenen Räumlichkeiten verlassen
  • Nutzung von unverschlüsselten tragbaren Speichermedien und Geräten
  • Verschlüsselung von über öffentliche Datenübertragungsnetzwerke gesendeten pbD
  • Sichere Entsorgung von ausgedruckten Materialien
  • Eindeutige Nutzung von User-IDs
  • Datensätze von berechtigten Benutzern
  • Verwaltung von User-IDs
  • Vertragsmaßnahmen
  • Im Unterauftrag erfolgende Verarbeitung von personenbezogenen Daten (pbD)
  • Zugang zu Daten in bereits genutzten Datenspeichern
• Einhaltung der Datenschutzpflichten
  • Geographischer Standort von pbD
  • Vorgesehener Bestimmungsort von pbD

Literaturhinweise (informativ)

Literaturhinweise (informativ)