ISO/IEC 27018

ISO/IEC 27018 הוא תקן להגנה על מידע אישי מזהה בסביבת מחשוב ענן. תקן זה הוא תקן ממשפחת תקני אבטחת מידע תקני ISO 27000.
התקן מבוסס על התקנים הבסיסיים ISO/IEC 27001 ו-ISO/IEC 27002 ומרחיב אותם להקשר של פרטיות במחשוב ענן.
הבקרות הנכללות בתקן הזה הן בקרות המבוססות על בקרות בתקן ISO/IEC 27001 אליהן מתווספות בקרות של ספקי שירותי ענן. ^[1]
התקן תואם את עקרונות אבטחת הפרטיות המופיעים בתקן ISO/IEC 29100.
התקינה והרגולציה בנושא הפרטיות מתקדמים כאשר יותר מדינות יוצרות או מרחיבות רגולציה הנוגעת למידע אישי ולתהליכי פרטיות, באנגלית: PII processors.
ISO/IEC 27018 הוא חלק מהמגמה הזו. הוא משלים תקני אבטחה אחרים של ISO בהקשר של פרטיות בענן. ספק שירותי ענן יכול לקבל הסמכה לתקן. ^[2]

• ISO/IEC 27018:2014^[3]
• ISO/IEC 27018:2019^[4]

התקן כולל 18 סעיפים ונספח. מבנה התקן ISO/IEC 27018:2019 הוא כמפורט להלן:

1. Scope טווח
2. Normative References
3. Terms and definitions מושגים והגדרות
4. Overview סקירה כללית
5. Information security policies מדיניות אבטחת מידע
6. Organization of information security מבנה אבטחת מידע
7. Human resource security אבטחת מידע של משאבים אנושיים
8. Asset management ניהול נכסי מחשוב
9. Access control בקרת גישה
10. Cryptography הצפנה
11. Physical and environmental security אבטחה פיזית וסביבתית
12. Operations security אבטחה תפעולית
13. Communications security אבטחת תקשורת נתונים
14. System acquisition, development and maintenance פיתוח, תחזוקה ורכישה של מערכות
15. Supplier relationships
16. Information security incident management ניהול אירועי אבטחת מידע
17. Information security aspects of business continuity management היבטי אבטחת מידע של המשכיות עסקית
18. Compliance התאמה לרגולציה ולתקינה

^[4]

1. רמת אבטחה גבוהה יותר למידע על הלקוח
2. יתרון תחרותי לספק הענן המוסמך לתקן בהשוואה לספקים אחרים
3. הגנה על הספק והלקוח ברמה החוקית

^[2]

• ISO/IEC 27017
• ISO/IEC 27001

• מזהה אישי בענן 2019:ISO/IEC 27018, המכון לבקרה ואיכות
• המדריך ליישום ISO/IEC 27018, מכון התקנים הישראלי