TL;DR 

ISO 27017 und 27018 sind auf die Cloud ausgerichtete Erweiterungen von ISO 27001.

27017 = Sicherheitskontrollen für die gemeinsame Verantwortung in der Cloud-Infrastruktur (CSPs + Kunden).

27018 = Wie werden personenbezogene Daten (PII) in der öffentlichen Cloud behandelt?

Keine separaten Zertifikate - wird normalerweise bei ISO 27001-Audits überprüft. Starkes Signal für GDPR-Anpassung und sichere Cloud-Praktiken.

ISO 27017 / 27018 Scorecard Zusammenfassung:

• Entwickelnde Aufwand: Mäßig (Erfordert das Verständnis der Cloud-Verantwortlichkeiten, die Implementierung spezifischer Cloud-Sicherheitskonfigurationen und möglicherweise die Entwicklung von Funktionen für die Verwaltung von personenbezogenen Daten/Rechten, falls zutreffend). Der Aufwand ist additiv zu ISO 27001.
• Tooling-Kosten: Minimale zusätzliche Kosten im Vergleich zu ISO 27001 (Verwendung bestehender ISO 27001-Tools; die Kosten beziehen sich hauptsächlich auf die Implementierung spezifischer Kontrollen wie verstärkte Überwachung oder Verschlüsselung, falls nicht bereits vorhanden).
• Auswirkungen auf den Markt: Hoch (insbesondere für CSPs und Unternehmen, die die Cloud stark nutzen; ISO 27018 ist der Schlüssel zum Nachweis des Schutzes von personenbezogenen Daten in der Cloud, der für die GDPR relevant ist).
• Flexibilität: Mäßig (Bietet spezifische Anleitungen und Kontrollen innerhalb des flexiblen ISO 27001-Rahmens).
• Intensität der Prüfung: Bewertet als Teil des ISO 27001-Audits mit hoher Intensität (fügt spezielle Bereiche hinzu, die die Prüfer in Bezug auf Cloud und PII unter die Lupe nehmen müssen).

Was sind ISO 27017 / 27018?

ISO/IEC 27017 und ISO/IEC 27018 sind internationale Normen innerhalb der ISO 27000-Familie, die sektorspezifische Leitlinien für das Cloud Computing enthalten. Sie bauen auf dem allgemeinen Rahmen und den Kontrollen in ISO 27001 und ISO 27002 auf (die eine Anleitung für die Umsetzung der Kontrollen in Anhang A enthält).

• ISO/IEC 27017:2015 (Verhaltenskodex für Informationssicherheitskontrollen basierend auf ISO/IEC 27002 für Cloud-Dienste):
  
  • Bietet eine Anleitung zu 37 Kontrollen in ISO 27002, die speziell für die Cloud-Sicherheit relevant sind.
  • Einführung von 7 neuen Cloud-spezifischen Kontrollen, die in ISO 27002 nicht enthalten sind, und die Bereiche wie geteilte Rollen und Verantwortlichkeiten, Überwachung von Cloud-Diensten, Härtung virtueller Maschinen und Entfernung von Assets für Kunden abdecken.
  • Klärung der Rollen und Zuständigkeiten zwischen dem Cloud (CSP) und dem Cloud (CSC) für die Umsetzung jeder Kontrolle.
  • Konzentriert sich weitgehend auf die Verwaltung der Informationssicherheit in der Cloud.
• ISO/IEC 27018:2019 (Verhaltenskodex für den Schutz personenbezogener Daten (PII) in öffentlichen clouds , die als PII-Verarbeiter fungieren):
  
  • Konzentriert sich speziell auf den Schutz von personenbezogenen Daten, die von öffentlichen CSPs verarbeitet werden.
  • Legt Ziele fest und gibt Anleitungen für die Durchführung von Kontrollen zur Erfüllung der Anforderungen an den Schutz von personenbezogenen Daten.
  • Behandelt Grundsätze wie Einwilligung und Wahlmöglichkeit, Legitimität des Zwecks, Datenminimierung, Einschränkung der Nutzung/Aufbewahrung/Weitergabe, Genauigkeit, Sicherheitsvorkehrungen, Transparenz und Rechenschaftspflicht für PII-Verarbeiter.
  • Sie steht in engem Einklang mit Datenschutzbestimmungen wie GDPR.
  • Seine Kontrollen erweitern weitgehend die bestehenden ISO 27002-Kontrollen mit spezifischen Interpretationen für den Schutz von personenbezogenen Daten in der Cloud.

Entscheidend ist, dass weder ISO 27017 noch ISO 27018 Managementsystemnormen wie ISO 27001 sind. Sie können sich nicht direkt nach 27017 oder 27018 zertifizieren lassen. Stattdessen implementieren Sie die entsprechenden Leitlinien im Rahmen eines ISO 27001-konformen Informationssicherheits-Managementsystems (ISMS), und ein Prüfer bewertet Ihre Implementierung dieser spezifischen Kontrollen während Ihres ISO 27001-Audits.

Warum sind sie wichtig?

ISO 27017 und ISO 27018 sind zwar Erweiterungen von ISO 27001, aber für Organisationen, die Cloud-Dienste nutzen oder anbieten, unerlässlich:

• Klärung der Verantwortlichkeiten Cloud : ISO 27017 befasst sich speziell mit dem oft undurchsichtigen Modell der geteilten Verantwortung in der Cloud und hilft sowohl CSPs als auch Kunden zu verstehen, wer für welche Sicherheitskontrollen verantwortlich ist.
• Schafft Vertrauen in Cloud : Der Nachweis der Übereinstimmung mit diesen Normen gibt den Kunden die Gewissheit, dass ein CSP bewährte Verfahren für die Cloud-Sicherheit(ISO 27017) und den Schutz von personenbezogenen Daten (ISO 27018) anwendet.
• Adressiert spezifische Cloud : ISO 27017 enthält Leitlinien, die auf Cloud-spezifische Bedrohungen und Schwachstellen zugeschnitten sind (z. B. Virtualisierungssicherheit, Trennung der Kundenumgebung).
• Unterstützt die Compliance Datenschutzes (GDPR, etc.): ISO 27018 bietet einen klaren Rahmen für CSPs, um die Verpflichtungen von Verarbeitern gemäß GDPR und anderen Datenschutzgesetzen zu erfüllen, wobei der Schwerpunkt auf Transparenz, Zustimmung und Rechten der betroffenen Personen in Bezug auf PII liegt.
• Wettbewerbsvorteil: Für CSPs ist der Nachweis der Einhaltung von ISO 27001 (oft durch Aufnahme in ein ISO 27001-Audit) ein wichtiges Unterscheidungsmerkmal auf dem Markt, insbesondere wenn sie mit regulierten Branchen oder datenschutzbewussten Kunden zu tun haben.
• Verbesserte Sicherheitslage: Die Umsetzung der zusätzlichen Kontrollen und Anleitungen stärkt die Sicherheits- und Datenschutzpraktiken in der Cloud-Umgebung wirklich.

Sie übertragen im Wesentlichen die allgemeinen Grundsätze der ISO 27001/27002 auf den spezifischen Kontext des Cloud Computing und der Verarbeitung personenbezogener Daten in diesem Rahmen.

Was und wie umsetzen (technisch und politisch)

Die Umsetzung erfolgt im Rahmen eines bestehenden oder geplanten ISO 27001 ISMS:

1. Definition des Geltungsbereichs (als Teil von ISO 27001): Stellen Sie sicher, dass der Geltungsbereich Ihres ISMS eindeutig die von Ihnen angebotenen oder genutzten Cloud-Dienste umfasst.
2. Risikobewertung (als Teil von ISO 27001): Identifizieren Sie speziell Cloud-bezogene Risiken (unter Verwendung von ISO 27017 ) und PII-Verarbeitungsrisiken in der Cloud (unter Verwendung von ISO 27018 ).
3. Auswahl der Kontrolle (Erklärung zur Anwendbarkeit - SoA):
   
   • Überprüfen Sie die ISO 27002-Kontrollen durch die Brille der ISO 27017 und berücksichtigen Sie dabei die Cloud-spezifischen Leitlinien für CSPs und CSCs.
   • Implementieren Sie die 7 neuen Kontrollen aus ISO 27017, falls dies risikobasiert möglich ist (z. B. Festlegung gemeinsamer Verantwortlichkeiten, VM-Härtung).
   • Überprüfen Sie die ISO 27002-Kontrollen durch die Brille der ISO 27018, wenn Sie PII als öffentlicher CSP verarbeiten, und setzen Sie die erweiterten Kontrollziele um (z. B. in Bezug auf Zustimmung, Datenminimierung, Transparenz, Benutzerrechte).
   • Aktualisieren Sie Ihr SoA, um die Anwendbarkeit und den Implementierungsstatus dieser Cloud-spezifischen Kontrollen zu berücksichtigen.
4. Implementierung technischer und politischer Kontrollen:
   
   • ISO 27017 Beispiele:
     
     • Dokumentieren Sie klar die gemeinsamen Verantwortlichkeiten mit Ihrem CSP/Kunden (Anleitung A.6.1.1).
     • Implementierung von Verfahren für die Entfernung/Rückgabe von Vermögenswerten bei Beendigung eines Cloud-Dienstes (A.8.3.1 Anleitung, neue Kontrolle CLD.6.3.1).
     • Virtuelle Umgebungen abtrennen (A.13.1.3 Anleitung, neue Kontrolle CLD.9.5.1).
     • Härten von Images virtueller Maschinen (neue Kontrolle CLD.9.5.2).
     • Definieren und implementieren Sie eine spezifische Überwachung der Sicherheit von Cloud-Nutzern (A.12.4.1 Anleitung).
   • ISO 27018 Beispiele (für CSPs, die PII verarbeiten):
     
     • sich vertraglich verpflichten, personenbezogene Daten nicht für andere als die vom Kunden angewiesenen Zwecke zu verarbeiten (A.18.1.4 Anleitung).
     • Transparenz in Bezug auf Unterauftragsverarbeiter, die mit PII umgehen, aufrechtzuerhalten (A.15.1.1, A.15.1.2 Anleitung).
     • Einführung von Mechanismen zur Unterstützung der Kunden bei compliance der Rechte der betroffenen Personen (Zugang, Berichtigung, Löschung) (A.18.1.4 Anleitung).
     • Sichere Löschung oder Rückgabe von PII bei Vertragsbeendigung (A.8.3.1, A.11.2.7 Anleitung).
     • Verschlüsselung von PII, die über öffentliche Netze übertragen werden (A.13.2.1, A.13.2.3 Anleitung).
     • Einführung von Verfahren zur Meldung von Datenschutzverletzungen speziell für personenbezogene Daten (Anleitung A.16.1).
5. Schulung und Sensibilisierung: Sicherstellen, dass die zuständigen Mitarbeiter die Verantwortlichkeiten für die Cloud-Sicherheit(ISO 27017) und die Pflichten zum Schutz von personenbezogenen Daten (ISO 27018) kennen.
6. Audits: Beziehen Sie die implementierten ISO 27017 / ISO 27018-Kontrollen in den Umfang Ihrer internen und externen ISO 27001-Audits ein.

Der Schwerpunkt liegt auf der Anwendung spezifischer Cloud- und PII-Schutzlinsen auf Ihre bestehenden ISMS-Kontrollen.

Häufig zu vermeidende Fehler

Häufige Fehler im Umgang mit ISO 27017 / 27018:

1. Sie werden als eigenständige Zertifizierungen behandelt: Es handelt sich um Verhaltenskodizes, die ISO 27001 ergänzen, nicht um eigenständige Zertifizierungen.
2. Ignorieren der ISO 27001 Foundation: Der Versuch, 27017/27018-Kontrollen zu implementieren, ohne dass ein ordnungsgemäßes ISMS nach ISO 27001 vorhanden ist (Risikobewertung, SoA usw.).
3. Nicht korrekte Definition des Anwendungsbereichs: Das Versäumnis, relevante Cloud-Dienste oder PII-Verarbeitungstätigkeiten in den Geltungsbereich des ISMS aufzunehmen.
4. Übersehen der geteilten Verantwortung (ISO 27017): Angenommen, der CSP kümmert sich um alles, oder es wird versäumt, die Verantwortlichkeiten zwischen Anbieter und Kunde klar zu dokumentieren.
5. Unzureichender Fokus auf PII (ISO 27018): Für CSPs, die die spezifischen Anforderungen an Zustimmung, Transparenz, Unterstützung der Rechte der Betroffenen und Beschränkungen der Verwendung von PII nicht vollständig verstehen oder umsetzen.
6. Mangelnde technische Umsetzung: Behandlung des Leitfadens als reine Richtlinie ohne Umsetzung der erforderlichen technischen Kontrollen (z. B. Verschlüsselung, Zugangskontrollen, sichere Konfigurationen speziell für die Cloud-Umgebung).
7. Vergessen der Rolle des Kunden (ISO 27017): Auch Cloud haben Verantwortlichkeiten, die in der ISO 27017 definiert sind; sie gilt nicht nur für Anbieter.

Was Prüfer fragen werdenEntwickelnde Focus)

Während eines ISO 27001-Audits, das auch ISO 27017 / 27018 umfasst, könnten die Auditoren Fragen zum Cloud-Betrieb und zum Umgang mit personenbezogenen Daten stellen:

• (27017) "Wie gewährleisten Sie die sichere Konfiguration und Absicherung von Images virtueller Maschinen, die in der Cloud bereitgestellt werden?" (CLD.9.5.2)
• (27017) "Zeigen Sie mir die Dokumentation, in der die Sicherheitsverantwortlichkeiten zwischen Ihnen (als Kunde/Anbieter) und Ihrem Cloud-Anbieter/Kunden festgelegt sind." (A.6.1.1 Anleitung)
• (27017) "Wie überwachen Sie Sicherheitsereignisse speziell in Ihrer Cloud-Umgebung?" (A.12.4.1 Anleitung)
• (27017) "Welche Verfahren gibt es für die sichere Entfernung Ihrer Daten/Vermögenswerte bei Beendigung des Cloud-Dienstes?" (CLD.6.3.1)
• (27018 - für CSPs) "Wie unterstützt Ihr System die Fähigkeit Ihres Kunden, auf Auskunfts- oder Löschungsanträge der betroffenen Personen zu den von Ihnen verarbeiteten PII zu reagieren?" (A.18.1.4 Leitfaden)
• (27018 - für CSPs) "Wie stellen Sie sicher, dass personenbezogene Daten nicht ohne ausdrückliche Zustimmung für Marketing/Werbung verwendet werden?" (Grundsatz der Zweckbindung)
• (27018 - für CSPs) "Welche Verschlüsselungstechniken werden zum Schutz von PII bei der Übertragung und im Ruhezustand innerhalb Ihres Cloud-Dienstes verwendet?" (A.10.1 / A.13.2.1 Leitfaden)
• (27018 - für CSPs) "Wie informieren Sie Ihre Kunden über Unterauftragsverarbeiter, die an der Verarbeitung ihrer personenbezogenen Daten beteiligt sind?" (A.15.1.1 / A.15.1.2 Anleitung)

Sie werden nach Beweisen dafür suchen, dass die spezifischen Richtlinien zum Schutz von Clouds und personenbezogenen Daten im Rahmen des ISMS berücksichtigt und umgesetzt wurden.

Quick Wins für Entwicklungsteams

Die Angleichung an die Grundsätze der ISO 27017 / 27018 kann hier beginnen:

1. Verstehen Sie die Rolle Ihres Cloud (ISO 27017): Prüfen Sie die Dokumentation des Modells der geteilten Verantwortung Ihres CSP. Machen Sie sich klar, welche Sicherheitsmaßnahmen sie ergreifen und welche Sie in der Anwendungs-/Konfigurationsschicht ergreifen müssen.
2. Härten Sie Container (ISO 27017): Verwenden Sie minimale Basis-Images, entfernen Sie unnötige Dienste und wenden Sie vor der Bereitstellung Sicherheitskonfigurationen an. (Bezieht sich auf CLD.9.5.2)
3. Nutzen Sie Cloud (ISO 27017): Nutzen Sie integrierte Tools von Cloud-Anbietern zur Überwachung, Zugriffskontrolle (IAM) und Konfigurationsverwaltung (wie AWS Config, Azure Policy).
4. Abbildung der PII-Datenflüsse (ISO 27018): Wenn Sie mit PII umgehen, müssen Sie genau wissen, wo sie eingehen, wie sie verarbeitet werden, wo sie gespeichert werden und wer innerhalb Ihrer Cloud-Anwendung darauf zugreift.
5. Verschlüsseln Sie PII (ISO 27018): Priorisieren Sie die Verschlüsselung von PII sowohl bei der Übertragung (TLS) als auch im Ruhezustand (Verschlüsselung von Datenbanken/Speichern).
6. Planen Sie die Rechte der Betroffenen ein (ISO 27018): Überlegen Sie bei der Entwicklung von Funktionen, die personenbezogene Daten betreffen, wie Sie die Daten eines bestimmten Nutzers auf Anfrage technisch abrufen, korrigieren oder löschen können.

Ignorieren Sie dies und... (Konsequenzen des Scheiterns)

Da ISO 27017 / 27018 im Rahmen eines ISO 27001-Audits bewertet wird, bedeutet "Versagen" in der Regel, dass während dieses Audits Nichtkonformitäten festgestellt werden:

• Scheitern des ISO 27001-Audits: Schwerwiegende Nichtkonformitäten im Zusammenhang mit nicht implementierten 27017/27018-Kontrollen (sofern sie in den Geltungsbereich fallen) können Ihre ISO 27001-Zertifizierung selbst gefährden und zur Aussetzung oder zum Versagen der Zertifizierung führen.
• Verlust von Vertrauen: Wenn Sie nicht nachweisen können, dass Sie die Best Practices für Cloud-Sicherheit(ISO 27017) oder den Schutz von personenbezogenen Daten (ISO 27018) einhalten, schadet dies dem Vertrauen Ihrer Kunden und Partner, die sich auf Ihre Cloud-Dienste verlassen.
• Vertrags-/Markt-Probleme: Unfähigkeit, vertragliche Anforderungen zu erfüllen, die die Einhaltung dieser Standards vorschreiben, wodurch möglicherweise Geschäfte oder der Marktzugang verloren gehen.
• Erhöhtes Risiko: Das Ignorieren des Leitfadens bedeutet, dass möglicherweise wichtige Cloud-spezifische Sicherheitskontrollen oder Maßnahmen zum Schutz personenbezogener Daten fehlen, was das Risiko von Verstößen oder Verletzungen der Privatsphäre erhöht.
• Compliance gesetzlicher Vorschriften: Bei ISO 27018 könnte die Nichtumsetzung der Richtlinien zum Schutz von personenbezogenen Daten zurcompliance von Vorschriften wie GDPR beitragen und zu Geldstrafen und rechtlichen Schritten führen.

FAQ

Kann ich mich direkt nach ISO 27017 oder ISO 27018 zertifizieren lassen?

Nein. Es handelt sich um Verhaltenskodizes und nicht um Normen für Managementsysteme. Die Compliance Normen wird im Rahmen eines ISO 27001-Zertifizierungsaudits geprüft, wenn diese Normen in den Geltungsbereich einbezogen sind.

Brauche ich sowohl ISO 27017 als auch ISO 27018?

Nicht unbedingt. ISO 27017 ist für fast jede Organisation relevant, die wichtige Cloud-Dienste nutzt oder anbietet. ISO 27018 ist speziell für öffentliche Cloud relevant, die personenbezogene Daten (PII) im Auftrag ihrer Kunden verarbeiten. Wenn Sie ein CSP sind, der personenbezogene Daten verarbeitet, werden Sie wahrscheinlich beides in Betracht ziehen. Wenn Sie ein Cloud-Kunde sind, der keine wesentlichen PII in der Cloud verarbeitet, könnte nur ISO 27017 relevant sein.

Wie hängen ISO 27017/27018 und ISO 27001 zusammen?

Es handelt sich um Erweiterungen, die detaillierte Implementierungsanleitungen für spezifische ISO 27001/27002-Kontrollen im Zusammenhang mit Cloud Computing(ISO 27017) und Cloud-PII-Schutz(ISO 27018) bieten. Sie benötigen ein ISMS nach ISO 27001 als Grundlage.

Ist ISO 27017 nur für Cloud Service Provider (CSPs)?

Nein. ISO 27017 bietet sowohl für Cloud (CSPs) als auch für Cloud (CSCs) einen Leitfaden, der die Verantwortlichkeiten beider Parteien klarstellt.

Ist ISO 27018 nur für Cloud Service Provider (CSPs)?

In erster Linie, ja. ISO 27018 konzentriert sich auf die Anforderungen an CSPs, die als PII-Verarbeiter agieren. Cloud (für die Verarbeitung personenbezogener Daten Verantwortliche) können sie zur Bewertung von CSPs nutzen, aber die Last der Umsetzung fällt hauptsächlich dem Anbieter zu.

Bin ich durch die Umsetzung von ISO 27018 GDPR-konform?

Nicht automatisch, aber es hilft erheblich. ISO 27018 bietet einen soliden Rahmen für CSPs, um viele GDPR-Anforderungen im Zusammenhang mit der Verarbeitung von PII (Artikel 28) zu erfüllen, wie z. B. Sicherheit, Transparenz, Unterverarbeitung und Unterstützung bei den Rechten der betroffenen Personen. Es ist ein wertvolles Instrument zum Nachweis der GDPR-Anpassung für die Verarbeitung von PII in der Cloud.

Wie werden diese geprüft?

Eine akkreditierte Zertifizierungsstelle führt ein ISO 27001-Audit durch. Wenn ISO 27017 / 27018 in Ihrem ISMS-Anwendungsbereich und Ihrer Anwendbarkeitserklärung enthalten ist, wird der Prüfer Ihre Umsetzung der relevanten Kontrollen und Leitlinien dieser Normen während des ISO 27001-Auditprozesses bewerten.