استاندارد ایزو ISO/IEC 27018:2019 فناوری اطلاعات – تکنیک‌های امنیتی – منشور عملی برای حفاظت از اطلاعات شناسایی شخصی

ISO/IEC 27018:2019 فناوری اطلاعات – تکنیک‌های امنیتی – منشور عملی برای حفاظت از اطلاعات شناسایی شخصی (PII) در رایانش ابری عمومی که به عنوان پردازشگر PII عمل می‌کنند.

چکیده استاندارد

این سند اهداف کنترلی، کنترل‌ها و دستورالعمل‌های پذیرفته‌شده عمومی برای پیاده‌سازی تدابیر حفاظت از اطلاعات شناسایی شخصی (PII) را در راستای اصول حریم خصوصی موجود در ISO/IEC 29100 برای محیط‌های رایانش ابری عمومی تعیین می‌کند.

به‌طور خاص، این سند دستورالعمل‌هایی بر اساس ISO/IEC 27002 را مشخص می‌کند که الزامات قانونی برای حفاظت از PII را در نظر می‌گیرد و این الزامات می‌توانند در زمینه ریسک‌های امنیت اطلاعات ارائه‌دهندگان خدمات رایانش ابری عمومی قابل اجرا باشند.

این سند برای تمامی انواع و اندازه‌های سازمان‌ها قابل استفاده است، از جمله شرکت‌های عمومی و خصوصی، نهادهای دولتی و سازمان‌های غیرانتفاعی که خدمات پردازش اطلاعات را به عنوان پردازشگرهای PII از طریق رایانش ابری تحت قرارداد به سازمان‌های دیگر ارائه می‌دهند.

دستورالعمل‌های این سند همچنین می‌تواند برای سازمان‌هایی که به‌عنوان کنترل‌کننده‌های PII عمل می‌کنند، مرتبط باشد. با این حال، کنترل‌کننده‌های PII ممکن است مشمول قوانین، مقررات و تعهدات اضافی برای حفاظت از PII باشند که برای پردازشگرهای PII قابل اعمال نیست. این سند برای پوشش چنین تعهدات اضافی طراحی نشده است.

ISO/IEC 27018:2019: استانداردی برای حفاظت از اطلاعات شناسایی شخصی (PII) در رایانش ابری عمومی

با گسترش استفاده از خدمات رایانش ابری، حفاظت از اطلاعات شناسایی شخصی (PII) به یکی از اولویت‌های اصلی در امنیت داده‌ها تبدیل شده است. استاندارد ISO/IEC 27018:2019 یک منشور عملی است که به حفاظت از PII در محیط‌های ابری عمومی که به عنوان پردازشگرهای PII عمل می‌کنند، می‌پردازد. این استاندارد در راستای ارتقاء امنیت داده‌ها و رعایت حریم خصوصی در خدمات رایانش ابری طراحی شده است و به سازمان‌ها کمک می‌کند تا بهترین شیوه‌ها را برای محافظت از اطلاعات حساس مشتریان خود در فضای ابری پیاده‌سازی کنند.

اهداف ISO/IEC 27018:2019

هدف اصلی این استاندارد، ارائه دستورالعمل‌هایی برای محافظت از PII در رایانش ابری عمومی است. این استاندارد به سازمان‌ها کمک می‌کند تا مسئولیت‌های خود را در رابطه با پردازش داده‌های شخصی به‌درستی مدیریت کنند و اطمینان حاصل کنند که اطلاعات شخصی به‌طور امن و مطابق با قوانین حفاظت از داده‌ها نگهداری می‌شود.

ویژگی‌های کلیدی استاندارد

1. راهنمایی برای پردازش اطلاعات شخصی
   ISO/IEC 27018:2019 دستورالعمل‌هایی برای سازمان‌هایی که به عنوان پردازشگر PII در محیط‌های ابری عمومی فعالیت می‌کنند، ارائه می‌دهد. این استاندارد به شرکت‌ها کمک می‌کند تا روش‌هایی برای جمع‌آوری، ذخیره‌سازی، پردازش و حذف داده‌های شخصی به‌طور امن اتخاذ کنند.
2. حفظ حریم خصوصی و امنیت داده‌ها
   یکی از جنبه‌های حیاتی این استاندارد، رعایت اصول حریم خصوصی و امنیت داده‌ها است. این استاندارد به شرکت‌ها کمک می‌کند تا اطمینان حاصل کنند که PII تنها در صورتی پردازش می‌شود که مشتریان یا کاربران رضایت داده باشند و فقط برای مقاصد مشخصی مورد استفاده قرار گیرد.
3. مدیریت دسترسی به داده‌ها
   ISO/IEC 27018:2019 کنترل‌های دقیقی برای مدیریت دسترسی به داده‌های شخصی دارد. این کنترل‌ها اطمینان می‌دهند که تنها افراد مجاز به اطلاعات شخصی دسترسی دارند و از دسترسی غیرمجاز به داده‌ها جلوگیری می‌شود.
4. رعایت الزامات قانونی و مقرراتی
   این استاندارد به سازمان‌ها کمک می‌کند تا با قوانین و مقررات مختلف مربوط به حفاظت از داده‌های شخصی، از جمله مقررات عمومی حفاظت از داده‌ها (GDPR) اتحادیه اروپا، انطباق داشته باشند.

اهمیت ISO/IEC 27018:2019

استفاده از استاندارد ISO/IEC 27018:2019 برای سازمان‌ها مزایای زیادی به همراه دارد. این استاندارد نه تنها به ارتقاء امنیت و حریم خصوصی داده‌های کاربران کمک می‌کند، بلکه اعتماد مشتریان و ذینفعان را نیز جلب می‌کند. همچنین، این استاندارد می‌تواند به سازمان‌ها در مدیریت ریسک‌های امنیتی و حقوقی کمک کند و از تبعات منفی ناشی از نقض داده‌ها جلوگیری کند.

ISO/IEC 27018:2019 به‌عنوان یک استاندارد بین‌المللی مهم برای حفاظت از PII در رایانش ابری عمومی شناخته می‌شود. این استاندارد با فراهم کردن دستورالعمل‌هایی برای سازمان‌ها، به آن‌ها کمک می‌کند تا مسئولیت‌های خود را در قبال اطلاعات شخصی مشتریان به‌درستی مدیریت کنند. با پیاده‌سازی این استاندارد، سازمان‌ها می‌توانند امنیت و حریم خصوصی داده‌ها را در محیط‌های ابری بهبود بخشند و از ریسک‌های حقوقی و مالی ناشی از نقض داده‌ها جلوگیری کنند.

به مشاوره نیاز دارید؟ با ما تماس بگیرید: 09132119102

ارتباط بین ISO/IEC 27018:2019 و ISO 9001 را می‌توان به این شکل توضیح داد:

۱. تعریف و حوزه هر استاندارد

• ISO 9001: استاندارد سیستم مدیریت کیفیت است که بر تضمین کیفیت خدمات و محصولات، بهبود مستمر فرآیندها و رضایت مشتری تمرکز دارد.
• ISO/IEC 27018:2019: استاندارد حفاظت از اطلاعات شناسایی شخصی (PII) در فضای ابری است و چارچوبی برای مدیریت امنیت داده‌های شخصی کاربران ارائه می‌دهد، مخصوصاً برای ارائه‌دهندگان خدمات ابری عمومی.

۲. ارتباط بین دو استاندارد

1. تمرکز بر اعتماد و رضایت مشتری:
   • ISO 9001 با بهبود کیفیت خدمات و فرآیندها، رضایت مشتری را افزایش می‌دهد.
   • ISO/IEC 27018 با تضمین امنیت و حفاظت از داده‌های شخصی مشتریان، اعتماد آنها را تقویت می‌کند.
   • ترکیب این دو استاندارد باعث می‌شود سازمان هم از نظر کیفیت و هم از نظر امنیت اطلاعات، استانداردهای بالایی داشته باشد.
2. یکپارچگی در مدیریت فرآیندها:
   • ISO 9001 به سازمان‌ها توصیه می‌کند فرآیندهای خود را مستند و کنترل‌شده مدیریت کنند.
   • ISO/IEC 27018 می‌تواند بخشی از این فرآیندها باشد، به‌خصوص در بخش خدمات دیجیتال و مدیریت داده‌های مشتریان، و اطمینان دهد که داده‌ها به شکل امن و مطمئن پردازش می‌شوند.
3. مدیریت ریسک و انطباق:
   • ISO 9001 به سازمان‌ها کمک می‌کند ریسک‌های کیفیت را شناسایی و مدیریت کنند.
   • ISO/IEC 27018 به سازمان‌ها کمک می‌کند ریسک‌های مربوط به نقض حریم خصوصی و امنیت داده‌های شناسایی شخصی را شناسایی و کاهش دهند.
   • در نتیجه، سازمان می‌تواند همزمان کیفیت خدمات و حفاظت از داده‌های مشتریان را تضمین کند.

۳. نتیجه‌گیری عملی برای سازمان‌ها

• پیاده‌سازی ISO 9001 به تنهایی کیفیت و بهبود فرآیندها را تضمین می‌کند، اما بدون استاندارد امنیت اطلاعات، اعتماد مشتریان به خدمات دیجیتال ممکن است آسیب ببیند.
• با ترکیب ISO 9001 و ISO/IEC 27018، سازمان‌ها یک چارچوب کامل برای کیفیت خدمات و حفاظت از داده‌های شخصی ایجاد می‌کنند.
• این ترکیب مخصوصاً برای فروشگاه‌های آنلاین، خدمات ابری و کسب‌وکارهایی که با اطلاعات مشتریان کار می‌کنند، اهمیت حیاتی دارد.