ISO 27018 là gì? Tại sao cần bảo vệ thông tin lưu trữ đám mây

Spread the love

ISO 27018 cung cấp một khung khổ toàn diện để bảo vệ thông tin cá nhân trong môi trường đám mây. Tìm hiểu ngay nội dung và lợi ích cụ thể của ISO 27018 trong bài viết dưới đây.

ISO 27018 là gì?

ISO/IEC 27018 là một tiêu chuẩn quốc tế về bảo mật thông tin, cụ thể là tập trung vào việc bảo vệ thông tin nhận dạng cá nhân (PII) trong môi trường đám mây.

ISO 27018 tập trung vào việc bảo vệ thông tin nhận dạng cá nhân (PII) trong môi trường đám mây
ISO 27018 tập trung vào việc bảo vệ thông tin nhận dạng cá nhân (PII) trong môi trường đám mây

Tiêu chuẩn này được xây dựng trên nền tảng của ISO/IEC 27001, một tiêu chuẩn chung về hệ thống quản lý bảo mật thông tin. Nhưng bổ sung thêm các yêu cầu cụ thể để đảm bảo rằng dữ liệu cá nhân của bạn được bảo vệ an toàn khi được lưu trữ và xử lý trên các dịch vụ đám mây.

Tại sao việc bảo mật thông tin lại quan trọng?

Theo Báo cáo vi phạm dữ liệu năm 2020 của IBM Security, 80% tất cả các vi phạm dữ liệu liên quan đến PII. Bảo mật PII bao gồm một loạt các biện pháp, một số biện pháp trong số đó bạn sẽ quen thuộc. Bao gồm:

  • Giảm thiểu việc thu thập và lưu giữ dữ liệu 
  • Áp dụng lịch hủy dữ liệu an toàn  
  • Mã hóa dữ liệu cho cả lưu trữ và truyền tải 
  • Giới hạn quyền truy cập vào dữ liệu 
  • Huấn luyện nhân viên 
  • Tuân thủ các quy định liên quan 
  • Thực hiện chiến lược quản trị thông tin 

Xem thêm: Tiêu chuẩn ISO 21001: Nội dung và quy trình thực hiện

Các phiên bản của ISO 27018

ISO/IEC 27018 là một tiêu chuẩn quốc tế cung cấp các hướng dẫn bổ sung cho ISO/IEC 27001, tập trung vào việc bảo vệ thông tin nhận dạng cá nhân (PII) trong môi trường điện toán đám mây. 

Tiêu chuẩn này được thiết kế để đảm bảo rằng các nhà cung cấp dịch vụ đám mây thực hiện các biện pháp bảo mật thích hợp để bảo vệ quyền riêng tư của khách hàng.

Các phiên bản chính của ISO 27018:

  • ISO/IEC 27018:2014: Đây là phiên bản đầu tiên của tiêu chuẩn, được phát hành vào năm 2014. Phiên bản này đã đặt ra nền tảng cho việc bảo vệ PII trong đám mây, cung cấp các hướng dẫn về các biện pháp kiểm soát và trách nhiệm của các nhà cung cấp dịch vụ đám mây.
  • ISO/IEC 27018:2019: Phiên bản này là bản cập nhật của phiên bản 2014, được ban hành vào năm 2019. Phiên bản 2019 đã bổ sung một số thay đổi nhỏ để phản ánh những tiến bộ trong công nghệ đám mây và các yêu cầu mới về bảo vệ dữ liệu.

Xem thêm: [Cập nhật] Quy trình chứng nhận ISO 9001 mới nhất 

Nội dung tiêu chuẩn ISO 27018

Các nguyên tắc bảo vệ PII

ISO 17018 xác định các nguyên tắc cơ bản để bảo vệ PII trong đám mây, bao gồm:

  • Xử lý dữ liệu theo yêu cầu của khách hàng: Các nhà cung cấp dịch vụ đám mây chỉ được xử lý PII theo đúng hướng dẫn của khách hàng.
  • Giới hạn truy cập: Chỉ những người có thẩm quyền mới được truy cập vào PII.
  • Bảo đảm tính minh bạch: Các nhà cung cấp dịch vụ đám mây phải minh bạch về các biện pháp bảo vệ PII mà họ thực hiện.
  • Thông báo rò rỉ dữ liệu: Trong trường hợp xảy ra rò rỉ dữ liệu, nhà cung cấp dịch vụ đám mây phải thông báo cho khách hàng ngay lập tức.

Các biện pháp kiểm soát cụ thể

Tiêu chuẩn ISO 27018 đưa ra các biện pháp kiểm soát cụ thể để bảo vệ PII, bao gồm:

  • Quản lý truy cập: Kiểm soát chặt chẽ việc truy cập vào hệ thống và dữ liệu.
  • Mã hóa: Mã hóa dữ liệu khi đang lưu trữ và truyền dẫn.
  • Quản lý sự cố: Xây dựng các quy trình ứng phó với sự cố bảo mật.
  • Giám sát và đánh giá: Thực hiện giám sát và đánh giá thường xuyên để đảm bảo hiệu quả của các biện pháp bảo mật.

Trách nhiệm của các bên liên quan: Tiêu chuẩn xác định rõ trách nhiệm của các bên liên quan, bao gồm nhà cung cấp dịch vụ đám mây, khách hàng và các bên thứ ba.

Nội dung tiêu chuẩn ISO 27018
Nội dung tiêu chuẩn ISO 27018

Lợi ích khi áp dụng tiêu chuẩn an toàn thông tin ISO 27018

Việc đạt chứng nhận ISO 27018 mang lại nhiều lợi ích quan trọng cho các tổ chức, đặc biệt là các nhà cung cấp dịch vụ đám mây. Dưới đây là một số lợi ích nổi bật:

Đối với tổ chức

  • Tăng cường niềm tin của khách hàng: Khi đạt được chứng nhận ISO 27018, tổ chức chứng minh được cam kết bảo vệ dữ liệu khách hàng một cách nghiêm túc. Điều này giúp xây dựng lòng tin và tăng khả năng cạnh tranh trên thị trường.
  • Cải thiện hình ảnh thương hiệu: Việc tuân thủ các tiêu chuẩn quốc tế như ISO 27018 giúp nâng cao uy tín và hình ảnh chuyên nghiệp của tổ chức.
  • Tuân thủ pháp luật: ISO 27018 giúp tổ chức đáp ứng các yêu cầu pháp lý ngày càng nghiêm ngặt về bảo vệ dữ liệu cá nhân trên toàn cầu.
  • Giảm thiểu rủi ro: Việc thực hiện các biện pháp bảo vệ theo ISO 27018 giúp giảm thiểu rủi ro vi phạm dữ liệu, các vụ kiện tụng và thiệt hại tài chính.
  • Cải thiện hiệu quả hoạt động: Việc xây dựng và duy trì một hệ thống quản lý bảo mật thông tin giúp tổ chức hoạt động hiệu quả hơn, giảm thiểu các sự cố và tăng cường năng suất.

Đối với khách hàng

  • Bảo vệ dữ liệu cá nhân: Khách hàng có thể yên tâm hơn khi giao phó dữ liệu quan trọng của mình cho các tổ chức đã đạt chứng nhận ISO 27018.
  • Tuân thủ quy định: Các tổ chức có chứng nhận ISO 27018 thường dễ dàng đáp ứng các yêu cầu về bảo vệ dữ liệu của khách hàng.
  • Hạn chế rủi ro: Khách hàng có thể giảm thiểu rủi ro mất mát dữ liệu và các hậu quả pháp lý liên quan.

Thông tin liên hệ tư vấn NatureCert

NatureCert là đơn vị chuyên cung cấp các dịch vụ tư vấn về ISO 27018. Để được hỗ trợ và tư vấn chi tiết về các dịch vụ này, quý khách hàng có thể liên hệ trực tiếp với chúng tôi thông qua các thông tin sau:

Address: 3B49 Sky 9, 61-63 đường số 1, phường Phú Hữu, TP. Thủ Đức, TP. Hồ Chí Minh

Phone: 0932023406

Email: info@naturecert.org

Website: www.naturecert.com
Fanpage chính: Trung tâm NatureCert

Với đội ngũ tư vấn chuyên nghiệp và kinh nghiệm, NatureCert cam kết sẽ mang đến cho quý khách hàng những giải pháp tối ưu và hiệu quả nhất. Hãy liên hệ với chúng tôi ngay hôm nay để được tư vấn và hỗ trợ.

We use cookies to personalise content and ads, to provide social media features and to analyse our traffic. We also share information about your use of our site with our social media, advertising and analytics partners. Xem thêm
Cài đặt cookie
Accept
Privacy & Cookie policy
Chính sách riêng tư & Cookies
Tên cookie Kích hoạt

Who we are

Our website address is: https://naturecert.org.

What personal data we collect and why we collect it

Comments

When visitors leave comments on the site we collect the data shown in the comments form, and also the visitor’s IP address and browser user agent string to help spam detection. An anonymized string created from your email address (also called a hash) may be provided to the Gravatar service to see if you are using it. The Gravatar service privacy policy is available here: https://automattic.com/privacy/. After approval of your comment, your profile picture is visible to the public in the context of your comment.

Media

If you upload images to the website, you should avoid uploading images with embedded location data (EXIF GPS) included. Visitors to the website can download and extract any location data from images on the website.

Contact forms

Cookies

If you leave a comment on our site you may opt-in to saving your name, email address and website in cookies. These are for your convenience so that you do not have to fill in your details again when you leave another comment. These cookies will last for one year. If you visit our login page, we will set a temporary cookie to determine if your browser accepts cookies. This cookie contains no personal data and is discarded when you close your browser. When you log in, we will also set up several cookies to save your login information and your screen display choices. Login cookies last for two days, and screen options cookies last for a year. If you select \\\"Remember Me\\\", your login will persist for two weeks. If you log out of your account, the login cookies will be removed. If you edit or publish an article, an additional cookie will be saved in your browser. This cookie includes no personal data and simply indicates the post ID of the article you just edited. It expires after 1 day.

Embedded content from other websites

Articles on this site may include embedded content (e.g. videos, images, articles, etc.). Embedded content from other websites behaves in the exact same way as if the visitor has visited the other website. These websites may collect data about you, use cookies, embed additional third-party tracking, and monitor your interaction with that embedded content, including tracking your interaction with the embedded content if you have an account and are logged in to that website.

Analytics

Who we share your data with

If you request a password reset, your IP address will be included in the reset email.

How long we retain your data

If you leave a comment, the comment and its metadata are retained indefinitely. This is so we can recognize and approve any follow-up comments automatically instead of holding them in a moderation queue. For users that register on our website (if any), we also store the personal information they provide in their user profile. All users can see, edit, or delete their personal information at any time (except they cannot change their username). Website administrators can also see and edit that information.

What rights you have over your data

If you have an account on this site or have left comments, you can request to receive an exported file of the personal data we hold about you, including any data you have provided to us. You can also request that we erase any personal data we hold about you. This does not include any data we are obliged to keep for administrative, legal, or security purposes.

Where we send your data

Visitor comments may be checked through an automated spam detection service.

Your contact information

Additional information

How we protect your data

What data breach procedures we have in place

What third parties we receive data from

What automated decision making and/or profiling we do with user data

Industry regulatory disclosure requirements

Lưu cài đặt
Cài đặt cookie
Lên đầu trang