0976.389.199
ISO / IEC 27018: 2019 - Công nghệ thông tin - Kỹ thuật bảo mật - Quy tắc thực hành để bảo vệ thông tin nhận dạng cá nhân (PII) trên các đám mây công cộng hoạt động như bộ xử lý PII

ISO / IEC 27018: 2019 - Công nghệ thông tin - Kỹ thuật bảo mật - Quy tắc thực hành để bảo vệ thông tin nhận dạng cá nhân (PII) trên các đám mây công cộng hoạt động như bộ xử lý PII

Tài liệu này thiết lập các mục tiêu kiểm soát được chấp nhận phổ biến, các biện pháp kiểm soát và hướng dẫn để thực hiện các biện pháp bảo vệ Thông tin nhận dạng cá nhân (PII) phù hợp với các nguyên tắc bảo mật trong ISO / IEC 29100 cho môi trường điện toán đám mây công cộng. Đặc biệt, tài liệu này nêu rõ các hướng dẫn dựa trên ISO / IEC 27002, có xem xét các yêu cầu quy định về bảo vệ PII có thể áp dụng trong bối cảnh (các) môi trường rủi ro về an toàn thông tin của nhà cung cấp dịch vụ đám mây công cộng.

Tiêu chuẩn ISO / IEC 27018:2019

Giới thiệu

0.1 Bối cảnh và bối cảnh

Các nhà cung cấp dịch vụ đám mây xử lý Thông tin nhận dạng cá nhân (PII) theo hợp đồng cho khách hàng của họ cần vận hành dịch vụ của họ theo cách cho phép cả hai bên đáp ứng các yêu cầu của luật pháp hiện hành và các quy định về bảo vệ PII. Các yêu cầu và cách thức phân chia các yêu cầu giữa nhà cung cấp dịch vụ đám mây và khách hàng của họ khác nhau tùy theo thẩm quyền pháp lý và theo các điều khoản của hợp đồng giữa nhà cung cấp dịch vụ đám mây và khách hàng. Pháp luật điều chỉnh cách PII được phép xử lý (tức là được thu thập, sử dụng, chuyển giao và xử lý) đôi khi được gọi là luật bảo vệ dữ liệu, PII đôi khi được gọi là dữ liệu cá nhân hoặc thông tin cá nhân. Các nghĩa vụ đối với người xử lý PII khác nhau giữa các khu vực tài phán

Nhà cung cấp dịch vụ đám mây công cộng là “bộ xử lý PII” khi nó xử lý PII theo và theo hướng dẫn của khách hàng sử dụng dịch vụ đám mây. Khách hàng sử dụng dịch vụ đám mây, người có mối quan hệ hợp đồng với bộ xử lý PII trên đám mây công khai, có thể từ một thể nhân, một “PII chính”, xử lý PII của riêng mình trên đám mây, đến một tổ chức, một “người kiểm soát PII”, xử lý PII liên quan đến nhiều gốc PII. Khách hàng sử dụng dịch vụ đám mây có thể cho phép một hoặc nhiều người dùng dịch vụ đám mây được liên kết với nó sử dụng các dịch vụ được cung cấp cho nó theo hợp đồng với bộ xử lý PII trên đám mây công cộng.

Lưu ý rằng khách hàng sử dụng dịch vụ đám mây có quyền đối với việc xử lý và sử dụng dữ liệu. Khách hàng sử dụng dịch vụ đám mây đồng thời là người kiểm soát PII có thể phải tuân theo một loạt các nghĩa vụ quản lý việc bảo vệ PII hơn là bộ xử lý PII trên đám mây công khai. Việc duy trì sự khác biệt giữa bộ kiểm soát PII và bộ xử lý PII dựa vào bộ xử lý PII trên đám mây công cộng không có mục tiêu xử lý dữ liệu nào khác với mục tiêu do khách hàng dịch vụ đám mây đặt ra đối với PII mà nó xử lý và các hoạt động cần thiết để đạt được mục tiêu của khách hàng dịch vụ đám mây.

LƯU Ý Khi bộ xử lý PII trên đám mây công cộng đang xử lý dữ liệu tài khoản khách hàng của dịch vụ đám mây, nó có thể hoạt động như một bộ điều khiển PII cho mục đích này. Tài liệu này không đề cập đến hoạt động như vậy.

Mục đích của tài liệu này, khi được sử dụng cùng với các mục tiêu và kiểm soát an toàn thông tin trong ISO / IEC 27002 , là tạo ra một tập hợp các danh mục và kiểm soát bảo mật chung có thể được thực hiện bởi một nhà cung cấp dịch vụ điện toán đám mây công cộng hoạt động như một bộ xử lý PII. Nó có các mục tiêu sau:

  • Để giúp nhà cung cấp dịch vụ đám mây công cộng tuân thủ các nghĩa vụ hiện hành khi hoạt động với tư cách là bên xử lý PII, cho dù các nghĩa vụ đó thuộc về bên xử lý PII trực tiếp hay thông qua hợp đồng
  • Cho phép bộ xử lý PII trên đám mây công khai minh bạch trong các vấn đề liên quan để khách hàng sử dụng dịch vụ đám mây có thể lựa chọn các dịch vụ xử lý PII dựa trên đám mây được quản lý tốt
  • Để hỗ trợ khách hàng sử dụng dịch vụ đám mây và bộ xử lý PII trên đám mây công cộng trong việc ký kết thỏa thuận hợp đồng
  • Cung cấp cho khách hàng sử dụng dịch vụ đám mây một cơ chế để thực hiện các quyền và trách nhiệm kiểm toán và tuân thủ trong các trường hợp khách hàng sử dụng dịch vụ đám mây cá nhân kiểm tra dữ liệu được lưu trữ trong môi trường máy chủ ảo hóa (đám mây) nhiều bên có thể không thực tế về mặt kỹ thuật và có thể làm tăng rủi ro đối với những kiểm soát an ninh mạng vật lý và logic tại chỗ.

Tài liệu này có thể hỗ trợ bằng cách cung cấp khuôn khổ tuân thủ chung cho các nhà cung cấp dịch vụ đám mây công cộng, đặc biệt là những nhà cung cấp hoạt động trong thị trường đa quốc gia.

0.2 Kiểm soát bảo vệ PII cho các dịch vụ điện toán đám mây công cộng

Tài liệu này được thiết kế để các tổ chức sử dụng làm tài liệu tham khảo để lựa chọn các biện pháp kiểm soát bảo vệ PII trong quá trình triển khai hệ thống quản lý bảo mật thông tin điện toán đám mây dựa trên ISO / IEC 27001 , hoặc làm tài liệu hướng dẫn triển khai các biện pháp kiểm soát bảo vệ PII được chấp nhận phổ biến cho các tổ chức hoạt động dưới dạng bộ xử lý PII trên đám mây công khai. Đặc biệt, tài liệu này dựa trên ISO / IEC 27002 , có xem xét (các) môi trường rủi ro cụ thể phát sinh từ các yêu cầu bảo vệ PII đó có thể áp dụng cho các nhà cung cấp dịch vụ điện toán đám mây công cộng đóng vai trò là bộ xử lý PII.

Thông thường, một tổ chức thực hiện ISO / IEC 27001 đang bảo vệ tài sản thông tin của chính mình. Tuy nhiên, trong bối cảnh các yêu cầu bảo vệ PII đối với nhà cung cấp dịch vụ đám mây công cộng đóng vai trò là người xử lý PII, tổ chức đang bảo vệ các tài sản thông tin được khách hàng giao phó. Việc triển khai các kiểm soát của ISO / IEC 27002 bởi bộ xử lý PII trên đám mây công cộng vừa phù hợp cho mục đích này vừa cần thiết. Tài liệu này bổ sung các biện pháp kiểm soát ISO / IEC 27002 để phù hợp với tính chất phân tán của rủi ro và sự tồn tại của mối quan hệ hợp đồng giữa khách hàng dịch vụ đám mây và bộ xử lý PII trên đám mây công cộng. Tài liệu này bổ sung ISO / IEC 27002 theo hai cách:

  • Hướng dẫn triển khai áp dụng cho bảo vệ PII trên đám mây công cộng được cung cấp cho một số biện pháp kiểm soát ISO / IEC 27002 hiện có
  • Phụ lục A cung cấp một tập hợp các biện pháp kiểm soát bổ sung và hướng dẫn liên quan nhằm giải quyết các yêu cầu bảo vệ PII trên đám mây công cộng không được bộ điều khiển ISO / IEC 27002 hiện có giải quyết

Hầu hết các kiểm soát và hướng dẫn trong tài liệu này cũng áp dụng cho người kiểm soát PII. Tuy nhiên, người kiểm soát PII, trong hầu hết các trường hợp, phải chịu các nghĩa vụ bổ sung không được nêu rõ ở đây.

0.3 yêu cầu bảo vệ PII

Điều cần thiết là một tổ chức phải xác định các yêu cầu của mình đối với việc bảo vệ PII. Có ba nguồn yêu cầu chính, như được đưa ra dưới đây.

a) Các yêu cầu pháp lý, luật định, quy định và hợp đồng: Một nguồn là các yêu cầu và nghĩa vụ pháp lý, luật định, quy định và hợp đồng mà một tổ chức, các đối tác thương mại, nhà thầu và nhà cung cấp dịch vụ của tổ chức đó phải đáp ứng cũng như trách nhiệm văn hóa xã hội và môi trường hoạt động của họ . Cần lưu ý rằng luật pháp, quy định và cam kết hợp đồng do bên xử lý PII đưa ra có thể yêu cầu lựa chọn các biện pháp kiểm soát cụ thể và cũng có thể yêu cầu các tiêu chí cụ thể để thực hiện các biện pháp kiểm soát đó. Những yêu cầu này có thể khác nhau giữa các khu vực tài phán khác.

b) Rủi ro: Một nguồn khác bắt nguồn từ việc đánh giá rủi ro đối với tổ chức liên quan đến PII, có tính đến chiến lược và mục tiêu kinh doanh tổng thể của tổ chức. Thông qua đánh giá rủi ro, các mối đe dọa được xác định, tính dễ bị tổn thương và khả năng xảy ra được đánh giá và tác động tiềm tàng được ước tính. ISO / IEC 27005 cung cấp hướng dẫn quản lý rủi ro an toàn thông tin, bao gồm lời khuyên về đánh giá rủi ro, chấp nhận rủi ro, truyền thông rủi ro, giám sát rủi ro và xem xét rủi ro. ISO / IEC 29134 cung cấp hướng dẫn về đánh giá tác động của quyền riêng tư.

c) Chính sách công ty: Trong khi nhiều khía cạnh được đề cập trong chính sách công ty có nguồn gốc từ các nghĩa vụ pháp lý và văn hóa xã hội, một tổ chức cũng có thể lựa chọn một cách tự nguyện để vượt ra ngoài các tiêu chí bắt nguồn từ các yêu cầu của a).

0.4 Lựa chọn và triển khai các điều khiển trong môi trường điện toán đám mây

Các điều khiển có thể được chọn từ tài liệu này (bao gồm tham chiếu các điều khiển từ ISO / IEC 27002 , tạo ra một bộ điều khiển tham chiếu kết hợp cho lĩnh vực hoặc ứng dụng được xác định theo phạm vi). Nếu được yêu cầu, các điều khiển cũng có thể được chọn từ các bộ điều khiển khác, hoặc các điều khiển mới có thể được thiết kế để đáp ứng các nhu cầu cụ thể khi thích hợp.

CHÚ THÍCH: Dịch vụ xử lý PII được cung cấp bởi bộ xử lý PII trên đám mây công cộng có thể được coi là một ứng dụng của điện toán đám mây chứ không phải là một lĩnh vực. Tuy nhiên, thuật ngữ “ngành cụ thể” được sử dụng trong tài liệu này, vì đây là thuật ngữ thông thường được sử dụng trong các tiêu chuẩn khác trong bộ tiêu chuẩn ISO / IEC 27000.

Việc lựa chọn các biện pháp kiểm soát phụ thuộc vào các quyết định của tổ chức dựa trên các tiêu chí chấp nhận rủi ro, các phương án xử lý rủi ro và phương pháp quản lý rủi ro chung được áp dụng cho tổ chức và thông qua các thỏa thuận hợp đồng, khách hàng và nhà cung cấp của tổ chức đó. Nó cũng phải tuân theo luật pháp và quy định quốc gia và quốc tế có liên quan. Trường hợp các điều khiển từ tài liệu này không được chọn, điều này cần được lập thành văn bản với sự biện minh cho sự thiếu sót.

Hơn nữa, việc lựa chọn và triển khai các biện pháp kiểm soát phụ thuộc vào vai trò thực tế của nhà cung cấp đám mây công cộng trong bối cảnh của toàn bộ kiến ​​trúc tham chiếu điện toán đám mây (xem ISO / IEC 17789 ). Nhiều tổ chức khác nhau có thể tham gia vào việc cung cấp cơ sở hạ tầng và dịch vụ ứng dụng trong môi trường điện toán đám mây. Trong một số trường hợp, các điều khiển đã chọn có thể là duy nhất cho một danh mục dịch vụ cụ thể của kiến ​​trúc tham chiếu điện toán đám mây. Trong các trường hợp khác, có thể có các vai trò được chia sẻ trong việc triển khai các biện pháp kiểm soát bảo mật. Các thỏa thuận hợp đồng cần quy định rõ ràng trách nhiệm bảo vệ PII của tất cả các tổ chức liên quan đến việc cung cấp hoặc sử dụng các dịch vụ đám mây, bao gồm bộ xử lý PII trên đám mây công cộng, các nhà thầu phụ và khách hàng sử dụng dịch vụ đám mây.

Các biện pháp kiểm soát trong tài liệu này có thể được coi là nguyên tắc hướng dẫn và có thể áp dụng cho hầu hết các tổ chức. Chúng được giải thích chi tiết hơn bên dưới cùng với hướng dẫn thực hiện. Việc triển khai có thể được thực hiện đơn giản hơn nếu các yêu cầu về bảo vệ PII đã được xem xét trong việc thiết kế hệ thống thông tin, dịch vụ và hoạt động của bộ xử lý PII trên đám mây công cộng. Sự cân nhắc như vậy là một yếu tố của khái niệm thường được gọi là “Quyền riêng tư theo thiết kế” (xem mục Thư mục [ 9 ]).

0.5 Phát triển các hướng dẫn bổ sung

Tài liệu này có thể được coi là điểm khởi đầu để phát triển các hướng dẫn bảo vệ PII. Có thể không phải tất cả các biện pháp kiểm soát và hướng dẫn trong quy tắc thực hành này đều có thể áp dụng được. Hơn nữa, có thể yêu cầu các hướng dẫn và kiểm soát bổ sung không có trong tài liệu này. Khi các tài liệu được phát triển có chứa các hướng dẫn hoặc kiểm soát bổ sung, có thể hữu ích nếu bao gồm các tham chiếu chéo đến các điều khoản trong tài liệu này nếu có thể để tạo điều kiện thuận lợi cho việc kiểm tra tuân thủ của kiểm toán viên và đối tác kinh doanh.

0.6 Cân nhắc về vòng đời

PII có một vòng đời tự nhiên, từ khi tạo ra và hình thành thông qua lưu trữ, xử lý, sử dụng và truyền tải cho đến khi nó bị hủy hoại hoặc phân rã cuối cùng. Các rủi ro đối với PII có thể khác nhau trong suốt thời gian tồn tại của nó nhưng việc bảo vệ PII vẫn quan trọng ở một mức độ nào đó ở tất cả các giai đoạn.

Các yêu cầu bảo vệ PII cần được tính đến vì các hệ thống thông tin hiện có và hệ thống thông tin mới được quản lý trong suốt vòng đời của chúng.

1 Phạm vi

Tài liệu này thiết lập các mục tiêu kiểm soát được chấp nhận phổ biến, các biện pháp kiểm soát và hướng dẫn thực hiện các biện pháp bảo vệ Thông tin nhận dạng cá nhân (PII) phù hợp với các nguyên tắc bảo mật trong ISO / IEC 29100 cho môi trường điện toán đám mây công cộng.

Đặc biệt, tài liệu này chỉ rõ các hướng dẫn dựa trên ISO / IEC 27002 , có xem xét các yêu cầu quy định về bảo vệ PII có thể áp dụng trong bối cảnh (các) môi trường rủi ro về an toàn thông tin của nhà cung cấp dịch vụ đám mây công cộng.

Tài liệu này áp dụng cho tất cả các loại hình và quy mô tổ chức, bao gồm các công ty nhà nước và tư nhân, các tổ chức chính phủ và các tổ chức phi lợi nhuận, cung cấp dịch vụ xử lý thông tin với tư cách là bộ xử lý PII thông qua điện toán đám mây theo hợp đồng với các tổ chức khác.

Các hướng dẫn trong tài liệu này cũng có thể liên quan đến các tổ chức hoạt động với tư cách là người kiểm soát PII. Tuy nhiên, người kiểm soát PII có thể phải tuân theo luật, quy định và nghĩa vụ bổ sung về bảo vệ PII, không áp dụng cho người xử lý PII. Tài liệu này không nhằm mục đích đề cập đến các nghĩa vụ bổ sung như vậy.

2 Tài liệu tham khảo

Các tài liệu sau đây được đề cập đến trong văn bản theo cách mà một số hoặc tất cả nội dung của chúng tạo thành các yêu cầu của tài liệu này. Đối với tài liệu ghi năm chỉ bản được nêu áp dụng. Đối với các tài liệu tham khảo không ghi ngày tháng, phiên bản mới nhất của tài liệu được tham chiếu (bao gồm mọi sửa đổi) sẽ được áp dụng.

  • ISO / IEC 17788 Công nghệ thông tin - Điện toán đám mây - Tổng quan và từ vựng
  • ISO / IEC 27000 Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng
  • ISO / IEC 27002:2013 Công nghệ thông tin - Kỹ thuật bảo mật - Quy tắc thực hành về kiểm soát an toàn thông tin

Xem Preview Tiêu chuẩn ISO / IEC 27018:2019

Bài viết liên quan