Thông tin nhận dạng cá nhân (PII) đang trở nên hấp dẫn hơn đối với tin tặc khi các tổ chức ngày càng dựa vào việc thu thập thông tin qua các trang web và ứng dụng. ISO 27018 giúp các nhà cung cấp dịch vụ đám mây đóng vai trò là bộ xử lý PII thực hiện các biện pháp kiểm soát bảo vệ thông tin cá nhân trên đám mây.
Mối đe dọa lớn nhất đối với các nhà cung cấp dịch vụ đám mây là không thực hiện được các biện pháp kiểm soát hiệu quả để bảo vệ PII mà họ xử lý và / hoặc lưu trữ. Bằng cách triển khai ISO 27018 cho phép các nhà cung cấp dịch vụ đám mây triển khai các biện pháp kiểm soát bảo mật thông tin bổ sung nhằm tăng mức độ bảo vệ cho dữ liệu cá nhân được lưu trữ và xử lý trên đám mây.
Cùng Luật Trần và Liên danh tìm hiểu về tiêu chuẩn iso 27018.
ISO 27018 là gì?
Tiêu chuẩn này còn vượt xa ISO 27001; tuy nhiên, điểm nhấn ở đây là bảo vệ thông tin cá nhân PII trong đám mây. Khi một công ty tham gia vào việc sở hữu, kiểm soát hoặc xử lý dữ liệu cá nhân trên đám mây, thì công ty đó phải tuân theo các quy định bổ sung. Các quy định bổ sung này có thể được áp đặt bởi (1) tiêu chuẩn địa lý, ví dụ: Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu hoặc theo (2) tiêu chuẩn ngành, ví dụ: HIPAA (Ngành chăm sóc sức khỏe). Để giải quyết các mối quan tâm bổ sung liên quan đến việc xử lý dữ liệu cá nhân bằng điện toán đám mây, ISO đã tạo ra một tiêu chuẩn mới, ISO / IEC 27018.
Tiêu chuẩn này cung cấp hướng dẫn nhằm đảm bảo rằng các nhà cung cấp dịch vụ đám mây (chẳng hạn như Amazon và Google) đưa ra các biện pháp kiểm soát bảo mật thông tin phù hợp để bảo vệ quyền riêng tư của khách hàng của họ bằng cách bảo mật Thông tin nhận dạng cá nhân PII (Personally Identifiable Information) được giao cho họ.
Tiêu chuẩn sẽ được tuân theo bởi ISO / IEC 27017 bao gồm các góc độ bảo mật thông tin rộng hơn của điện toán đám mây, ngoài quyền riêng tư.
Dự án đã nhận được sự hỗ trợ rộng rãi từ các cơ quan tiêu chuẩn quốc gia cùng với Liên minh Bảo mật Đám mây CSA (Cloud Security Alliance).
Đám mây mang lại cho các tổ chức và người tiêu dùng nhiều lợi ích: tiết kiệm chi phí, tính linh hoạt và khả năng truy cập thông tin trên thiết bị di động đứng đầu danh sách. Nó cũng làm tăng mối quan tâm về bảo vệ dữ liệu và quyền riêng tư; đặc biệt là về thông tin nhận dạng cá nhân (PII). PII bao gồm bất kỳ phần thông tin nào có thể xác định một người dùng cụ thể. Các ví dụ rõ ràng hơn bao gồm tên và chi tiết liên hệ. Như những thứ mà mọi người có thể không dễ dàng nghĩ đến là hồ sơ y tế, địa chỉ IP và bảng sao kê ngân hàng.
Được sử dụng cùng với ISO / IEC 27001, ISO / IEC 27018 ban hành để cho phép các Nhà cung cấp dịch vụ đám mây có cơ sở hạ tầng được chứng nhận theo tiêu chuẩn, cũng như chứng minh cho khách hàng hiện tại và tiềm năng của họ biết rằng dữ liệu của họ được bảo vệ và sẽ không được sử dụng cho bất kỳ mục đích nào mà họ không đưa ra sự đồng ý cụ thể.
Chứng nhận iso 27018 – Tiêu chuẩn bảo vệ thông tin định danh cá nhân (PII) trên điện toán đám mây
ISO/IEC 27018:2019 là bộ quy phạm thực hành tập trung vào việc bảo vệ dữ liệu cá nhân trên đám mây. Quy định này dựa trên tiêu chuẩn bảo mật thông tin ISO/IEC 27002 và cung cấp hướng dẫn thực hiện các kiểm soát ISO/IEC 27002 áp dụng cho Thông tin nhận dạng cá nhân (Personally Identifiable Information, PII) trên đám mây công cộng. Quy định này cũng cung cấp một bộ kiểm soát bổ sung và hướng dẫn kết hợp với mục đích đáp ứng những yêu cầu bảo vệ PII trên đám mây công cộng mà bộ kiểm soát ISO/IEC 27002 hiện có chưa đáp ứng được (Theo the International Organization for Standardization).
Bên cạnh chứng nhận về các tiêu chuẩn quốc tế về an toàn thông tin mới nhất, VNG Cloud còn đạt chứng nhận PCI DSS – Bộ Tiêu chuẩn Bảo mật Dữ liệu Thẻ thanh toán, ngay cả khi Khách hàng không sử dụng dữ liệu Thẻ , VNG Cloud vẫn duy trì mức độ bảo vệ cao theo PCI DSS cho mọi dữ liệu của Khách hàng.
Để đạt được các chứng nhận tiêu chuẩn an toàn thông tin trên, VNG Cloud luôn thiết lập và tuân thủ Hệ thống các Kiểm soát An toàn Thông tin theo Tiêu chuẩn quốc tế ISO/IEC 27001, PCI DSS; đã và đang liên tục tuân thủ các Luật, Tiêu chuẩn phổ biến khác, cụ thể là Luật, Thông tư nhà nước Việt Nam, Tiêu chuẩn ISO/IEC 27017 & 27018; đồng thời duy trì, xem xét và cải tiến Hệ thống này thường xuyên.
Các chứng chỉ trên khẳng định năng lực cung cấp các dịch vụ và giải phải điện toán đám mây đạt tiêu chuẩn quốc tế, đồng thời, VNG Cloud cam kết đồng hành cùng khách hàng đảm bảo an toàn thông tin, ngăn chặn các sự cố an toàn thông tin với các biện pháp bảo mật tiên tiến nhất.
Mục đích của tiêu chuẩn iso 27018
ISO / IEC 27018 thiết lập các mục tiêu, kiểm soát và hướng dẫn kiểm soát được chấp nhận phổ biến để thực hiện các biện pháp bảo vệ Thông tin nhận dạng cá nhân (PII) phù hợp với các nguyên tắc bảo mật trong ISO / IEC 29100 cho môi trường điện toán đám mây công cộng.
Đặc biệt, tài liệu này nêu rõ các hướng dẫn dựa trên ISO / IEC 27002, có xem xét các yêu cầu quy định về bảo vệ PII có thể áp dụng trong bối cảnh (các) môi trường rủi ro về an toàn thông tin của nhà cung cấp dịch vụ đám mây công cộng.
Tiêu chuẩn này áp dụng cho tất cả các loại hình và quy mô tổ chức, bao gồm các công ty nhà nước và tư nhân, các tổ chức chính phủ và các tổ chức phi lợi nhuận, cung cấp dịch vụ xử lý thông tin với tư cách là bộ xử lý PII thông qua điện toán đám mây theo hợp đồng với các tổ chức khác.
Các hướng dẫn trong tiêu chuẩn này cũng có thể liên quan đến các tổ chức hoạt động với tư cách là người kiểm soát PII. Tuy nhiên, người kiểm soát PII có thể phải tuân theo luật, quy định và nghĩa vụ bổ sung về bảo vệ PII, không áp dụng cho người xử lý PII. Tài liệu này không nhằm mục đích đề cập đến các nghĩa vụ bổ sung như vậy.
Ý nghĩa của tiêu chuẩn iso 27018 với khách hàng
Quá trình điều chỉnh phù hợp đã minh chứng cho khách hàng rằng AWS có sẵn một hệ thống các kiểm soát chuyên xử lý vấn đề bảo vệ quyền riêng tư cho nội dung của họ. Đánh giá độc lập từ bên thứ ba về bộ quy phạm thực hành đã được công nhận trên toàn cầu và việc AWS điều chỉnh phù hợp theo những quy định này đã minh chứng cho cam kết của AWS đối với quyền riêng tư và bảo vệ nội dung của khách hàng.
Phạm vi áp dụng iso 27018
Tài liệu này thiết lập các mục tiêu kiểm soát được chấp nhận phổ biến, các biện pháp kiểm soát và hướng dẫn thực hiện các biện pháp bảo vệ Thông tin nhận dạng cá nhân (PII) phù hợp với các nguyên tắc bảo mật trong ISO / IEC 29100 cho môi trường điện toán đám mây công cộng.
Đặc biệt, tài liệu này chỉ rõ các hướng dẫn dựa trên ISO / IEC 27002 , có xem xét các yêu cầu quy định về bảo vệ PII có thể áp dụng trong bối cảnh (các) môi trường rủi ro về an toàn thông tin của nhà cung cấp dịch vụ đám mây công cộng.
Tài liệu này áp dụng cho tất cả các loại hình và quy mô tổ chức, bao gồm các công ty nhà nước và tư nhân, các tổ chức chính phủ và các tổ chức phi lợi nhuận, cung cấp dịch vụ xử lý thông tin với tư cách là bộ xử lý PII thông qua điện toán đám mây theo hợp đồng với các tổ chức khác.
Các hướng dẫn trong tài liệu này cũng có thể liên quan đến các tổ chức hoạt động với tư cách là người kiểm soát PII. Tuy nhiên, người kiểm soát PII có thể phải tuân theo luật, quy định và nghĩa vụ bổ sung về bảo vệ PII, không áp dụng cho người xử lý PII. Tài liệu này không nhằm mục đích đề cập đến các nghĩa vụ bổ sung như vậy.
Kiểm soát bảo vệ PII cho các dịch vụ điện toán đám mây công cộng
Tài liệu này được thiết kế để các tổ chức sử dụng làm tài liệu tham khảo để lựa chọn các biện pháp kiểm soát bảo vệ PII trong quá trình triển khai hệ thống quản lý bảo mật thông tin điện toán đám mây dựa trên ISO / IEC 27001 , hoặc làm tài liệu hướng dẫn triển khai các biện pháp kiểm soát bảo vệ PII được chấp nhận phổ biến cho các tổ chức hoạt động dưới dạng bộ xử lý PII trên đám mây công khai. Đặc biệt, tài liệu này dựa trên ISO / IEC 27002 , có xem xét (các) môi trường rủi ro cụ thể phát sinh từ các yêu cầu bảo vệ PII đó có thể áp dụng cho các nhà cung cấp dịch vụ điện toán đám mây công cộng đóng vai trò là bộ xử lý PII.
Thông thường, một tổ chức thực hiện ISO / IEC 27001 đang bảo vệ tài sản thông tin của chính mình. Tuy nhiên, trong bối cảnh các yêu cầu bảo vệ PII đối với nhà cung cấp dịch vụ đám mây công cộng đóng vai trò là người xử lý PII, tổ chức đang bảo vệ các tài sản thông tin được khách hàng giao phó. Việc triển khai các kiểm soát của ISO / IEC 27002 bởi bộ xử lý PII trên đám mây công cộng vừa phù hợp cho mục đích này vừa cần thiết. Tài liệu này bổ sung các biện pháp kiểm soát ISO / IEC 27002 để phù hợp với tính chất phân tán của rủi ro và sự tồn tại của mối quan hệ hợp đồng giữa khách hàng dịch vụ đám mây và bộ xử lý PII trên đám mây công cộng. Tài liệu này bổ sung ISO / IEC 27002 theo hai cách:
- Hướng dẫn triển khai áp dụng cho bảo vệ PII trên đám mây công cộng được cung cấp cho một số biện pháp kiểm soát ISO / IEC 27002 hiện có
- Phụ lục A cung cấp một tập hợp các biện pháp kiểm soát bổ sung và hướng dẫn liên quan nhằm giải quyết các yêu cầu bảo vệ PII trên đám mây công cộng không được bộ điều khiển ISO / IEC 27002 hiện có giải quyết
Hầu hết các kiểm soát và hướng dẫn trong tài liệu này cũng áp dụng cho người kiểm soát PII. Tuy nhiên, người kiểm soát PII, trong hầu hết các trường hợp, phải chịu các nghĩa vụ bổ sung không được nêu rõ ở đây.
Yêu cầu bảo vệ PII
Điều cần thiết là một tổ chức phải xác định các yêu cầu của mình đối với việc bảo vệ PII. Có ba nguồn yêu cầu chính, như được đưa ra dưới đây.
a) Các yêu cầu pháp lý, luật định, quy định và hợp đồng: Một nguồn là các yêu cầu và nghĩa vụ pháp lý, luật định, quy định và hợp đồng mà một tổ chức, các đối tác thương mại, nhà thầu và nhà cung cấp dịch vụ của tổ chức đó phải đáp ứng cũng như trách nhiệm văn hóa xã hội và môi trường hoạt động của họ . Cần lưu ý rằng luật pháp, quy định và cam kết hợp đồng do bên xử lý PII đưa ra có thể yêu cầu lựa chọn các biện pháp kiểm soát cụ thể và cũng có thể yêu cầu các tiêu chí cụ thể để thực hiện các biện pháp kiểm soát đó. Những yêu cầu này có thể khác nhau giữa các khu vực tài phán khác.
b) Rủi ro: Một nguồn khác bắt nguồn từ việc đánh giá rủi ro đối với tổ chức liên quan đến PII, có tính đến chiến lược và mục tiêu kinh doanh tổng thể của tổ chức. Thông qua đánh giá rủi ro, các mối đe dọa được xác định, tính dễ bị tổn thương và khả năng xảy ra được đánh giá và tác động tiềm tàng được ước tính. ISO / IEC 27005 cung cấp hướng dẫn quản lý rủi ro an toàn thông tin, bao gồm lời khuyên về đánh giá rủi ro, chấp nhận rủi ro, truyền thông rủi ro, giám sát rủi ro và xem xét rủi ro. ISO / IEC 29134 cung cấp hướng dẫn về đánh giá tác động của quyền riêng tư.
c) Chính sách công ty: Trong khi nhiều khía cạnh được đề cập trong chính sách công ty có nguồn gốc từ các nghĩa vụ pháp lý và văn hóa xã hội, một tổ chức cũng có thể lựa chọn một cách tự nguyện để vượt ra ngoài các tiêu chí bắt nguồn từ các yêu cầu của a).
Lựa chọn và triển khai các điều khiển trong môi trường điện toán đám mây
Các điều khiển có thể được chọn từ tài liệu này (bao gồm tham chiếu các điều khiển từ ISO / IEC 27002 , tạo ra một bộ điều khiển tham chiếu kết hợp cho lĩnh vực hoặc ứng dụng được xác định theo phạm vi). Nếu được yêu cầu, các điều khiển cũng có thể được chọn từ các bộ điều khiển khác, hoặc các điều khiển mới có thể được thiết kế để đáp ứng các nhu cầu cụ thể khi thích hợp.
CHÚ THÍCH: Dịch vụ xử lý PII được cung cấp bởi bộ xử lý PII trên đám mây công cộng có thể được coi là một ứng dụng của điện toán đám mây chứ không phải là một lĩnh vực. Tuy nhiên, thuật ngữ “ngành cụ thể” được sử dụng trong tài liệu này, vì đây là thuật ngữ thông thường được sử dụng trong các tiêu chuẩn khác trong bộ tiêu chuẩn ISO / IEC 27000.
Việc lựa chọn các biện pháp kiểm soát phụ thuộc vào các quyết định của tổ chức dựa trên các tiêu chí chấp nhận rủi ro, các phương án xử lý rủi ro và phương pháp quản lý rủi ro chung được áp dụng cho tổ chức và thông qua các thỏa thuận hợp đồng, khách hàng và nhà cung cấp của tổ chức đó. Nó cũng phải tuân theo luật pháp và quy định quốc gia và quốc tế có liên quan. Trường hợp các điều khiển từ tài liệu này không được chọn, điều này cần được lập thành văn bản với sự biện minh cho sự thiếu sót.
Hơn nữa, việc lựa chọn và triển khai các biện pháp kiểm soát phụ thuộc vào vai trò thực tế của nhà cung cấp đám mây công cộng trong bối cảnh của toàn bộ kiến trúc tham chiếu điện toán đám mây (xem ISO / IEC 17789 ).
Nhiều tổ chức khác nhau có thể tham gia vào việc cung cấp cơ sở hạ tầng và dịch vụ ứng dụng trong môi trường điện toán đám mây. Trong một số trường hợp, các điều khiển đã chọn có thể là duy nhất cho một danh mục dịch vụ cụ thể của kiến trúc tham chiếu điện toán đám mây.
Trong các trường hợp khác, có thể có các vai trò được chia sẻ trong việc triển khai các biện pháp kiểm soát bảo mật. Các thỏa thuận hợp đồng cần quy định rõ ràng trách nhiệm bảo vệ PII của tất cả các tổ chức liên quan đến việc cung cấp hoặc sử dụng các dịch vụ đám mây, bao gồm bộ xử lý PII trên đám mây công cộng, các nhà thầu phụ và khách hàng sử dụng dịch vụ đám mây.
Các biện pháp kiểm soát trong tài liệu này có thể được coi là nguyên tắc hướng dẫn và có thể áp dụng cho hầu hết các tổ chức.
Chúng được giải thích chi tiết hơn bên dưới cùng với hướng dẫn thực hiện. Việc triển khai có thể được thực hiện đơn giản hơn nếu các yêu cầu về bảo vệ PII đã được xem xét trong việc thiết kế hệ thống thông tin, dịch vụ và hoạt động của bộ xử lý PII trên đám mây công cộng. Sự cân nhắc như vậy là một yếu tố của khái niệm thường được gọi là “Quyền riêng tư theo thiết kế”.
Trên đây là bài viết về iso 27018 của Luật Trần và Liên danh. Nếu có thắc mắc hãy gọi cho chúng tôi theo số Hotline: 0969 078 234 để được tư vấn miễn phí.