ISO 27018 הינו תקן המספק כללי יישום להגנה על מידע מזהה אישי (PII – Personally Identifiable Information) בעננים ציבוריים הפועלים כמעבדי מידע מזהה אישי.
התקן מבוסס על תקני אבטחת המידע ISO 27002 ו-ISO 27001 תוך התמקדות בחוקים, תקנות חובות וכללים להגנה ואבטחת PII בסביבות בעלות סיכוני אבטחת מידע של ספקי שירותי ענן ציבוריים.
כל מה שצריך לדעת על אבטחת המידע בארגון
לקריאת המתודולוגיה של ISO 27001
התקן חל על ארגונים מכל הסוגים והגדלים, לרבות חברות פרטיות וציבוריות, ישויות ממשלתיות וארגונים ללא כוונת רווח, המספקים ללקוחותיהם שירותי עיבוד מידע מזהה אישי באמצעות שימוש במחשוב ענן. בנוסף, התקן מתאים גם לארגונים הפועלים כבקרי מידע מזהה אישי (בקר PII).
חשוב לדעת כי בקרי מידע מזהה אישי כפופים לתקנות וחובות נוספים שאינם חלים על מעבדי מידע מזהה אישי (מעבד PII). ייתכן כי לקוח שירות ענן שהוא גם בקר PII יהיה כפוף למערכת חובות ותקנות רחבה יותר המסדירה את הגנת מידע מזהה אישי.
מעבד (PII (Processor מעבד נתונים שהוגדרו על ידי לקוח שירות הענן בלבד (בקר PII).
בקר (PII (Controller קובע את אמצעי האיסוף והעיבוד של המידע ואת מטרת השימוש בו.
לכל המאמרים על תקנות הגנת הפרטיות
לכל המאמרים אודות רגולציית הגנת הפרטיות GDPR
ISO 27018 מפרט את הבקרות הנוספות (שאינן קיימות ב- ISO 27001) שיש להטמיע בארגון בכדי להגדיל את רמת ההגנה על הנתונים האישיים בענן:
ספקים אשר מספקים ללקוחותיהם שירותי ענן, נשאלים רבות כיצד המידע האישי של לקוחותיהם מוגן מפני פרצות אבטחה?
הטמעת תקן ISO 27001 לאבטחת המידע הינו פתרון נכון לשמירת אבטחת המידע בארגון.
למרות זאת, כיום עמידה בתקן ISO 27001 בלבד אינו מספיק, וספקים רבים בתחום שירותי הענן, המשמשים כמעבדי PII מחויבים לעמוד גם בתקן ISO 27018 בכדי לוודא כי המידע האישי מאוחסן בענן מוגן בצורה אופטימלית.
מרדכי רוז'נסקי 18 כניסה ב',
א.ת חדש ראשון לציון
א' - ה'
08:00-17:00
חברת Nextep ביצעה עבודה מקצועית ויעיליה, כל זאת בתיאום עם הנהלת הארגון. העמידה בלוחות הזמנים שהוגדרו לפרויקט הייתה מדויקת להפליא. אנו מודים ליועצי Nextep על היוזמה לשיפור מערך השירות במנרב הנדסה.
מרדכי רוז'נסקי 18 כניסה ב',
א.ת חדש ראשון לציון
א' - ה'
08:00-17:00