ISO 27018 | ניהול אבטחת מידע בענן

השאירו פרטים כאן לקבלת מידע טלפוני אודות תקן ISO 27018 או התקשרו ל- 03-7176281

מהו תקן ISO 27018?

תקן ISO 27018 כולל כללים ליישום לצורך הגנה על מידע מזהה אישי PII – Personally Identifiable Information, בעננים ציבוריים המעבדים מידע מזהה אישי.

הוא מבוסס על תקני ISO 27001 ו-ISO 27002 לאבטחת מידע ומתמקד בתקנות, חובות וכללים לאבטחת PII מפני סיכוני אבטחת מידע של ספקי שירותי ענן ציבוריים.

על מי חל התקן?

תקן ISO 27018 חל על ארגונים מכל סוג המספקים שירותי עיבוד מידע מזהה אישי ע"י שימוש במחשוב ענן, כולל ארגונים פרטיים, ציבוריים וממשלתיים. התקן כולל גם ארגונים הפועלים כבקר PII (בקרי מידע אישי מזהה).

על בקרי מידע מזהה חלים חובות נוספים שאינם חלים על מעבדי מידע אישי מזהה (מעבד PII).

ההבדל בין בקר PII למעבד PII: מעבד – מעבד נתונים מוגדרים מראש על ידי לקוח שירות הענן (בקר PII).  

בקר- האמצעים בהם ייאסף ויעובד המידע נקבעים על ידי הבקר.

מהם יתרונות הטמעת התקן?

1. עמידה בתקן ISO 27018 מאפשרת פניה לשוק הבינלאומי, עבודה עם החברות הגדולות במשק ועם משרדי ממשלה.
2. הסמכה לתקן זה מהווה הוכחה לרמת אבטחת מידע גבוהה בארגון ושמירה על המידע המזהה האישי של הלקוח (PII).
3. עמידה בדרישות החוקים, התקנות והרגולציות (בניהן GDPR) בנושא הענן מעמידה את הספק ברמה הגבוהה ביותר של אבטחת מידע שהוא מסוגל לה. רמה זו משפיעה בין השאר גם ברמה הטכנית המאפשרת גיבוי ושחזור נתונים והצפנת ה-PII.
4. הקפדה על פרטיות מאגרי המידע, מניעת שימוש במידע לצורך שיווק ובקרה על אי זליגת מידע מהענן – ימנעו זליגת מידע של הארגון ויצמצמו הוצאות על נזקי אבטחת מידע כמו איבוד מידע ועוד.

הקשר בין הטמעת תקן ISO 27018 בנוסף לתקן ISO 27001:

ספקים אשר מספקים ללקוחותיהם שירותי ענן, נשאלים רבות כיצד המידע האישי של לקוחותיהם מוגן מפני פרצות אבטחה?

הטמעת תקן ISO 27001 לאבטחת המידע הינו פתרון נכון לשמירת אבטחת המידע בארגון.

למרות זאת, כיום עמידה בתקן ISO 27001 בלבד אינו מספיק, וספקים רבים בתחום שירותי הענן, המשמשים כמעבדי PII מחויבים לעמוד גם בתקן ISO 27018 בכדי לוודא כי המידע האישי מאוחסן בענן מוגן בצורה אופטימלית.

בקרות חדשות:

ISO 27018 מפרט בקרות חדשות שיש להטמיע בכדי להגדיל את רמת ההגנה על מידע אישי בענן ושאינן קיימות ב-ISO 27001, ואילו הן:

• מינוי מעבד מידע אחראי (POC) בארגון הספק להתנהלות שוטפת מול הלקוח.
• ניהול מסמכים בהתאם למדיניות הענן.
• הגדרת תאימות לרגולציה ודרישות חוזיות בין מעבד המידע ללקוחות שלו.
• הצפנת מידע אישי בענן וניהול בקרת גישה קפדנית לנחשפים למידע זה.
• עיבוד הנתונים יתבצע רק למטרה שלשמם סיפק הלקוח, בתוך כך ישנו איסור שימוש ואיסוף נתונים למטרות שיווק ופרסום.
• הפעלת מנגנון תיעוד הכנסה והוצאה של מדיות פיזיות המכילות מידע אישי.
• קביעת הסכמי סודיות מחמירים לעובדים בעלי גישה לנתונים אישיים.
• ביצוע של מספר גיבויים לוגיים ופיזיים.
• גישה מוגדרת לנתונים ומחיקתם ללקוחות, הגדרת נהלים למחיקת מידע אישי מהגיבויים והגדרת נוהל ברור לשחזור נתונים.
• ניהול העברת מידע בין אתרים גאוגרפיים שונים שבהם נמצא המידע.
• נוהל מחיקת מידע והשמדת מדיה פיזית בהם ישנם נתונים אישיים בהתאם לחוקי הפרטיות.
• מתן הודעה מראש ללקוח במצב בו מתקבלת בקשה לחשיפת נתונים.

ליווי על ידי מיטב המומחים בתחום:

אנו מציעים לכם דרך קלה וברורה להטמעת התקן, תהליך פשוט ויעיל בו תהיו מוקפים בליווי של מיטב המומחים. המומחים שלנו בתחומי המשפט, הרגולציה ואבטחת המידע יספקו לכם מענה מלא בהתאם לאופי הארגון שלכם.

בנוסף לכך, בסוף התהליך תקבלו מאתנו סקר סיכונים לאבטחת המידע שלכם, נהלי שמירה על פרטיות המידע ברגון ונוהל חרום מסודר לטיפול באירועי אבטחת מידע.

אז למה אתם מחכים? השאירו פרטים כאן לקבלת מידע טלפוני אודות תקן ISO 27018 או התקשרו ל- 03-7176281