Inhalt. Überblick über die Normenfamilie. Struktur der ISO/IEC 27018:2014. Die Norm im Einzelnen. Schnittmenge zum Datenschutz. Kritische Würdigung

Transkript

1 ISO 27018

2 Inhalt Überblick über die Normenfamilie Struktur der ISO/IEC 27018:2014 Die Norm im Einzelnen Schnittmenge zum Datenschutz Kritische Würdigung

3 Inhalt Überblick über die Normenfamilie Struktur der ISO/IEC 27018:2014 Die Norm im Einzelnen Schnittmenge zum Datenschutz Kritische Würdigung

4 ISO 27xxx und andere Managementnormen Basiert auf den Anhang SL (vormals Guide 83 ). Der Anhang SL stellt einen Leitfaden für Verfasser dar. Er bietet einen standardisierten Text für alle ISO-Management-System-Standards. Warum? Vereinheitlichung von Terminologien und Anforderungen für grundlegende Management System Anforderungen. Einfache Integration zukünftiger Revisionen. Gleicher Aufbau auch bei den aktuellen ISO 9001/14001/50001

5 ISO 27xxx ISO/IEC enthält Begriffe und Definitionen, welche in der Normenserie ISO/IEC 27xxx verwendet werden. ISO/IEC enthält die Anforderungen an ein ISMS. Nur gegen diese Norm darf zertifiziert werden! ISO/IEC enthält Empfehlungen für diverse Kontrollmechanismen für die Informationssicherheit. Entspricht dem Anhang A der ISO 27001, Analogie zu den technischen und organisatorischen Sicherheitmaßnahmen, BSI Grundschutz Maßnahmenkatalog

6 ISO 27xxx ISO/IEC enthält einen Leitfaden zur Umsetzung der ISO/IEC ISO FCD Information Security Management Measurement ISO FCD behandelt das Thema IS Risikomanagement

7 ISO 27xxx ISO/IEC Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems regelt die Kriterien, nach denen Stellen arbeiten müssen, die Informationssicherheits- und Managementsysteme nach ISO/IEC auditieren und zertifizieren wollen. ISO/IEC Information technology - Security techniques - Guidelines for information security management systems auditing ISO/IEC TR Information technology - Security techniques - Guidance for auditors on information security management systems controls.

8 ISO 27xxx ISO Branchenspezifische Ergänzungen zur ISO Ausnahme ISO Gesundheitswesen ISO technische Spezifika wie BCM, Cybersecurity, etc.

9 Inhalt Überblick über die Normenfamilie Struktur der ISO/IEC 27018:2014 Die Norm im Einzelnen Schnittmenge zum Datenschutz Kritische Würdigung

10 Struktur der ISO/IEC 27018:2014 Einteilung in 18 Kapitel! Davon Kapitel 5 18 inhaltlich maßgeblich Im Wesentlichen Referenzierung auf ISO rel. Kapitel, z.t. mit kurzer zusätzlicher Beschreibung und Bezugnahme zum Clouddienst und der Umsetzung des Datenschutzes in der Cloud Normativer Anhang A (national) Inhaltlich interessanterer und wesentlicherer Teil

11 Inhalt Überblick über die Normenfamilie Struktur der ISO/IEC 27018:2014 Die Norm im Einzelnen Schnittmenge zum Datenschutz Kritische Würdigung

12 Struktur der ISO/IEC 27018:2014 Ausgewählte Kapitel im Einzelnen: Kapitel 0 Ausführlicher Text zum Hintergrund und Kontext der Norm Im Wesentlichen wird auf die allgemeinen Anforderungen bei der Verwendung öffentlicher Clouds mit pbdaten eingegangen Kapitel 1 Anwendungsbereich der Norm: Öffentliche-Cloud-Umgebung Speicherung von pbdaten in dieser Umgebung

13 Struktur der ISO/IEC 27018:2014 Ausgewählte Kapitel im Einzelnen: Kapitel 4 Aufbau der Norm Ausformulierter Bezug zur ISO und tabellarische Darstellung Kapitel 5 Informationssicherheitsrichtlinien Kapitel 6 Organisation der Informationssicherheit

14 Struktur der ISO/IEC 27018:2014 Ausgewählte Kapitel im Einzelnen: Kapitel 15 Lieferantenbeziehungen Kapitel 18 Regelkonformität

15 Maßnahmen (ISO/IEC 27002/18)

16 Inhalt Überblick über die Normenfamilie Struktur der ISO/IEC 27018:2014 Die Norm im Einzelnen Schnittmenge zum Datenschutz Kritische Würdigung

17 Schnittmenge zum Datenschutz Inhaltlich sehr hoch, da die Norm sich ausdrücklich um die Umsetzung technischer und organisatorischer Maßnahmen bei der Verarbeitung von pbdaten in der öffentlichen Cloud befasst. ABER: Die Norm stammt aus dem Jahr 2014 und entspricht somit nicht durchgängig den Anforderungen der EU-DSGVO. Autor: Schröder Stand: Blatt 17 Urheberrecht: Verimax GmbH

18 Inhalt Überblick über die Normenfamilie Struktur der ISO/IEC 27018:2014 Die Norm im Einzelnen Schnittmenge zum Datenschutz Kritische Würdigung

19 Kritische Würdigung Die Normenreihe versucht Sektor-/Branchen spezifischer(e) Maßnahmen zu definieren Dies gelingt m.e. nur teilweise und greift nur bedingt Neues mit auf. Zudem gelingt es den Normengebern i.d. Regel nicht uptodate zu bleiben. Spezielle Anforderungen der DSGVO sind noch nicht enthalten/berücksichtigt. Für eine Zertifizierung kann diese Norm eine Hilfestellung sein. Eine inhaltliche Ausgestaltung beim Anwender muss jedoch sorgfältig geprüft und abgewogen werden. Aussagen wie: Wir sind nach ISO zertifiziert, sollten die Alarmglocken läuten lassen. Eine Zertifizierung kann nur nach der ISO i.v. mit der ISO erfolgen! Autor: Schröder Stand: Blatt 19 Urheberrecht: Verimax GmbH

20 Diskussion und Fragen

21 Vielen Dank für Ihre Aufmerksamkeit Stefan Staub