ISO-Normen zur Sicherung Ihrer Lieferkette
Wir denken immer an den Sicherheitsaspekt von Produkten und Dienstleistungen. Es ist aber nützlich zu wissen, dass ISO-Normen auch Ideen und Lösungen, bewährte Verfahren und Know-how für andere Bereiche oder sogar Normen für die Abmessungen von Kreditkarten enthalten.
ISO, die Internationale Organisation für Normung
Die ISO ist eine gemeinnützige Organisation mit 167 Mitgliedern, die praktisch alle Länder vertreten. Ihr Ziel ist es, internationale Normen zu entwickeln und Antworten auf globale Fragen zu finden.
Um diesen Blog besser zu verstehen, müssen wir zunächst erklären, was eine “Internationale Norm” ist:
Eine internationale Norm ist ein Dokument, das konkrete Informationen und bewährte Verfahren enthält. Sie beschreibt oft eine vereinbarte Vorgehensweise oder eine Lösung für ein globales Problem.
ISO 27000, Informationssicherheits-Management
Von allen ISO-Normen ist die Familie-27000 diejenige, die uns heute interessiert: Sie gewährleistet die Sicherheit sensibler Informationen in Organisationen. Die Einhaltung und Umsetzung der Normen der ISO 27000-Familie erleichtert das Management der Sicherheit von Vermögenswerten wie Finanzinformationen, geistigem Eigentum, Mitarbeiterdaten und von Dritten anvertrauten Informationen usw.
ISO 27001, die bekannteste Norm
ISO 27001 ist wohl die bekannteste ISO-Norm. Sie ist eine weltweit anerkannte Norm für das Informationssicherheitsmanagement. Mit anderen Worten: Sie bietet Unternehmen einen Leitfaden für den Schutz der Daten, die sie besitzen oder verarbeiten.
Um dieser Norm zu entsprechen, müssen Unternehmen einem “Plan-Do-Check-Act”-Zyklus (PDCA) folgen und eine umfassende Strategie umsetzen, um die Sicherheit der von ihnen verwalteten Daten zu gewährleisten. Darüber hinaus müssen sie eine Politik mit Verfahren und Kontrollen einführen, die an ihre Organisation angepasst sind, das so genannte “Information Security Management System”. Dabei handelt es sich um einen globalen Ansatz, der sich nicht nur auf die Cybersicherheit beschränkt.
Insgesamt muss das Unternehmen seine Bereitschaft und die Maßnahmen, die es zum Schutz sensibler Daten ergreift, in Übereinstimmung mit den drei Grundsätzen der ISO 27001 nachweisen:
- Vertraulichkeit,
- Integrität (der Informationen)
- Verfügbarkeit (von Daten).
Genauer gesagt handelt es sich bei ISO 27001 um eine Norm: Sie definiert die spezifischen Rahmenbedingungen und praktischen Anweisungen, die ein Unternehmen umsetzen muss, um eine Zertifizierung zu erhalten. Die Zertifizierung erfolgt nach einem Audit durch eine unabhängige Stelle. Ein Unternehmen kann sich auch gegen eine Zertifizierung entscheiden.
Die Standards werden regelmäßig aktualisiert, um mit den immer raffinierteren Cyber-Angriffen Schritt zu halten.
ISO 27017 und ISO 27018, Sicherheit in der Cloud
Das letzte Jahrzehnt hat viele Veränderungen bei der Speicherung und Übertragung von Daten mit sich gebracht und das Aufkommen der Cloud ist nicht mehr zu stoppen. Diese Entwicklungen, die zum Aufkommen des Cloud Computing geführt haben, bringen jedoch auch neue Sicherheitsanforderungen mit sich.
Im Falle von ISO 27017 und 27018 geht es im Wesentlichen um die Sicherheit personenbezogener Daten (PII) beim Cloud Computing. Dies fällt auch in den Anwendungsbereich der RGPD, die speziell für Europa gilt.
ISO 27017: Schutz von Informationen in der Cloud
Mit der zunehmenden Verbreitung der Cloud fordern die Nutzer Garantien für die Sicherheit der Datenspeicherung und -verarbeitung in der Cloud. Der Markt für Cloud-Dienste ist dadurch gekennzeichnet, dass die Anbieter über die ganze Welt verstreut sind und die Daten regelmäßig von einem Land in ein anderes übertragen werden. Daher ist es wichtig, sich auf internationale Richtlinien verlassen zu können.
Laut Satoru Yamasaki, einem der Redakteure, die an der Norm mitgearbeitet haben, “wird ISO/IEC 27017 Dienstanbietern dabei helfen, mit ihren Kunden eine gemeinsame Basis für die Angemessenheit von Sicherheitskontrollen und deren Implementierungsempfehlungen zu finden. Diese internationale Norm für Sicherheitskontrollen in der Cloud wird die Entwicklung und den Ausbau von sichereren Cloud-Computing-Systemen erleichtern”.
ISO 27018: Schutz von personenbezogenen Daten in der Cloud
ISO 27018 gilt für jede Art von Einrichtung, ob öffentlich oder privat, ab dem Zeitpunkt, an dem sie anderen Organisationen Informationsverarbeitungsdienste über Cloud Computing im Auftrag anbietet.
Die im Jahr 2014 veröffentlichte ISO/IEC 27018 ist die erste internationale Norm, die sich auf den Schutz personenbezogener Daten in der Cloud konzentriert.
ISO/IEC 27018, eine bahnbrechende Norm auf dem Gebiet des Schutzes personenbezogener Daten in der Cloud, verfolgt verschiedene Ziele:
- Anbietern von Cloud-Diensten, die personenbezogene Daten verarbeiten, zu helfen, die geltenden rechtlichen Verpflichtungen sowie die Erwartungen der Kunden zu erfüllen
- Gewährleistung von Transparenz, damit die Kunden gut verwaltete Cloud-Dienste auswählen können
- Erleichterung der Ausarbeitung von Verträgen für Cloud-Dienste
- den Cloud-Kunden einen Mechanismus an die Hand geben, mit dem sie sicherstellen können, dass die Cloud-Anbieter die gesetzlichen und sonstigen Anforderungen erfüllen.
Zusammenfassend lässt sich sagen, dass ISO/IEC 27018 eine konkrete Referenz für die Schaffung von Vertrauen in diesem Markt darstellt. Gleichzeitig gibt sie der Public-Cloud-Branche eine klare Richtung vor, um einige der rechtlichen und regulatorischen Bedenken ihrer Kunden zu zerstreuen.
- E-Rechnungsstellung in der Republik Zypern - August 11, 2024
- Welche Risiken birgt eine verspätete Umstellung auf E-Invoicing? - August 1, 2024
- Wie Sie das Beste aus der Umstellung auf die elektronische Rechnungsstellung machen - June 11, 2024
RELATED POSTS
Der Unterschied zwischen XRechnung un...
E-Rechnungsstellung in der Schweiz
Der Bedarf an einem einzigen globalen...