Wer braucht eine Cloud Zertifizierung nach ISO 27018 zusätzlich zum ISO 27001 Zertifikat?
Wer braucht die ISO 27018 Zertifizierung?
Anbieter von Cloud-Lösungen müssen sich nach ISO 27018 zertifizieren lassen. Die Herausforderung dabei, ist dass man vorher die ISO 27001 Zertifizierung haben sollte. Es ist nicht möglich ohne ISO 27001 das ISO 27018 Zertifikat zu erhalten. In der Regel kombinieren Zertifizierungsstellen ein ISO 27001 Audit mit einem erweiterten Audit Scope für ISO 27018. Dabei entsteht aber für die Zertifizierungsstellen ein Problem: nicht jeder Auditor ist für ISO 27018 Audits zugelassen.
Folgende Unternehmen müssen nun auch ISO 27018 nachweisen können:
- Cloud Speicherplatz Anbieter
- Cloud Telefonanlagen Dienstleister
- SaaS Software Anbieter
- Online Buchhaltungssoftware
- App Entwickler mit Produkten im Apple App Store
- Online Recruiting Anbieter
- Job Portal Betreiber
- Anbieter von Online Zeiterfassungslösungen
- Online Marktplatz Anbieter
- Online Medien Anbieter
- Online Schulungsanbieter
Was ist die ISO 27018 Cloud Zertifizierung?
Die ISO-Norm 27001 verfügt über die Erweiterung ISO/IEC 27018. Die ISO 27018 orientiert sich an den Herausforderung von Cloud Service Anbietern. So soll im Cloud Computing die Informationssicherheit und der Datenschutz zertifiziert werden. Der Aufbau eines Informations-Sicherheits-Management-Systems (ISMS) ist das Fundament dieser Zertifizierungsfamilie. Die Kontrollverfahren (English: “Controls”) der ISO 27001 bestehen aus Prozessen, Verfahren und Maßnahmen. Mit der ISO 27018 werden diese Kontrollen auf die Datenschutzanforderungen der Cloud Dienste angepasst. Personenbezogene Daten dürfen nur noch in Übereinstimmung mit den Kunden bzw. Nutzer weiterverarbeitet werden. Daher führen solche Anbieter immer öfter in ihre Lösungen solche Support Zugriffsgenehmigungen ein, damit Nutzer explizit den Datenzugriff durch Supportmitarbeiter genehmigen. Die ISO 27018 Norm fokussiert sich stark auf den Schutz und den verantwortungsvollen Umgang mit personenbezogenen Kundendaten.
Die allgemeine Bezeichnung der ISO 27018 als “Zertifizierung” ist etwas ungenau. Wie bereits erwähnt, kann man sein Unternehmen nicht nach ISO 27018 zertifizieren, ohne ISO 27001 Zertifizierung als Hauptbestandteil zu haben. Hier muss man eigentlich von einer ergänzenden Zertifizierung bzw. Erweiterung des Betrachtungsfelds des üblichen ISO 27001 Audits sprechen. Daher sind Presseartikel und Bücher über die ISO 27018 Zertifizierung häufig fehlerhaft verfasst. Mit der ISO 27018 kann man auf Umsetzungsempfehlungen zurückgreifen. Ein Anforderungskatalog ist dahingehend so nicht explizit vorhanden wie bei ISO 27001.
Was braucht man für die ISO 27018 Zertifizierung?
Zunächst benötigt man ein ISMS nach ISO 27001. In dieses ISMS muss man als Cloud Anbieter für die eigenen Produkte bzw. Leistungen passende Ergänzungen gemäß der ISO 27018 Norm einpflegen. Cloud Anbieter sind nicht nur Unternehmen mit einem reinen Service Portfolio bestehend aus Cloud Servern bzw. Cloud Instanzen (z.B. AWS, Deutsche Telekom, Hetzner). Dazu gehören auch Anbieter die klassischerweise sich gerne als SaaS Anbieter bezeichnen. Ihre Anwendungen bzw. Dienste werden in Cloud Umgebungen betrieben. Damit fallen Sie auch in die ISO 27018 Thematik hinein und müssen für ihren künftigen Erfolg die ISO 27001 Zertifizierung mit einer ISO 27018 Erweiterung anstreben. Wer schon eine ISO 9001 Zertifizierung hinter sich hat, wird bei der Kalkulation der erforderlichen Audittage mit einer Reduzierung der Auditzeit belohnt.