Du er her

Ny standard for behandling af personoplysninger i clouden

I ISO27000-serien af sikkerhedsstandarder er der nu kommet en ny standard, ISO27018, som adresserer sikkerhed ved behandling af personoplysninger i forbindelse med cloud computing.

Standarden har til formål at give virksomheder, som ønsker at bruge cloud computing til at behandle personoplysninger, en liste over de krav og kontroller, som med rimelighed og ud fra en konkret risikovurdering kan stilles til cloud leverandøren.

Standarden har alene fokus på de tiltag, som cloud leverandøren i sin rolle som databehandler, bør iværksætte. Dermed er standarden ikke optimal til at håndtere den dataansvarliges egen sikkerhed. Standarden ligger i forlængelse af de mere generelle sikkerhedskrav fra Cloud Security Alliance, som nogle virksomheder måske kender. Standarden vil med tiden blive suppleret af ISO27017, der netop adresserer bredere aspekter af cloud relateret informationssikkerhed end netop behandling af personoplysninger.

DI anbefaler generelt, at virksomhederne går holistisk til værks, når de arbejder med informationssikkerhed. For at nå hele vejen rundt om sikkerhed kan det være umådeligt nyttigt at anvende en standard som referenceramme. Særligt ISO27001 kan anbefales til overordnet at få styr på sikkerhed. På baggrund af denne får man implementeret tiltag som risikovurdering, dataklassifikation, styring af informationssikkerhed og udarbejdelse af sikkerhedspolitikker.

De øvrige standarder i ISO27000-serien adresserer mere specifikke områder. Skal man til at adressere et af disse områder, kan det anbefales at gå frem efter de specifikke standarder, som f.eks. ISO27018 om behandling af personoplysninger i cloud.