תקן אבטחת מידע
ISO 27001
ISO 27018 תקן אבטחה לשירותי ענן
תקן ISO 27018 כולל כללים ליישום לצורך הגנה על מידע מזהה אישי PII – Personally Identifiable Information, בעננים ציבוריים המעבדים מידע מזהה אישי.
התקן מבוסס על תקני ISO 27001 ו-ISO 27002 לאבטחת מידע ומתמקד בתקנות, חובות וכללים לאבטחת PII מפני סיכוני אבטחת מידע של ספקי שירותי ענן ציבוריים.
התקן מגדיר את תחומי האחריות של לקוחות הקצה וספקי השירות בשירותי ענן, דבר המאפשר להפוך שירותים אלו לבטוחים יותר.
התקן כולל 18 סעיפים ונספח
הבקרות הנכללות בתקן הזה מבוססות על בקרות בתקן ISO 27001 אליהן מתווספות בקרות של ספקי שירותי ענן.
התקן תואם את עקרונות אבטחת הפרטיות המופיעים בתקן ISO 29100.
ISO27018 משלים תקני אבטחה אחרים של ISO בהקשר של פרטיות בענן. ספק שירותי ענן יכול לקבל הסמכה לתקן.
איך זה עובד?
שלבי התהליך
איסוף מידע
הכרות עם אנשים, תהליכים וטכנולוגיות: הכרות עם מבנה ארגוני, תהליכים עסקיים בחברה, נהלי עבודה ומערכות מידע שנעשה בהם שימוש ב�חברה
1
3
תיקון ועדכון
טיפול בפערים ע"י צוות מקצועי בעלי התמחויות בתחומי הרלוונטיים כגון: מומחי תוכן לכתיבת נהלי אבטחת מידע, בודקים מקצועיים שיבצעו בדיקות חדירות ועוד.
2
ניתוח מידע
ניתוח מצב קיים בחברה מול דרישות התקן לכל אחד מהסעיפים. הצגת פערים בדוח מסכם עם המלצות ותיעדוף לטיפול.
4
מבדק חיצוני
מבדק חיצוני מבוצע ע"י אחד מהמכונים המורשים. הבודק עובר על ה-SOA, הצהרת הישימות ואסמכתאות תומכות ובסיום מנפיק תעודת הסמכה לעמידה בתקן.