787 974 136
ISO 27017 i ISO 27018 to dwa standardy, które często są ze sobą mylone, ponieważ oba dotyczą środowisk chmurowych. W rzeczywistości jednak koncentrują się na różnych obszarach bezpieczeństwa. ISO 27017 odnosi się do ogólnego bezpieczeństwa usług chmurowych i podziału odpowiedzialności między dostawcą a klientem, natomiast ISO 27018 skupia się wyłącznie na ochronie danych osobowych (PII) przetwarzanych w chmurze. Oba standardy są rozszerzeniem ISO 27001 i uzupełniają jego wymagania w specyficznym kontekście usług chmurowych.
Podstawowa różnica między standardami dotyczy ich zakresu. ISO 27017 koncentruje się na bezpieczeństwie infrastruktury i usług chmurowych, obejmując m.in. zarządzanie dostępem, konfigurację usług oraz model współdzielonej odpowiedzialności. Jego celem jest uporządkowanie zasad bezpieczeństwa pomiędzy dostawcą chmury a klientem.
ISO 27018 natomiast skupia się na ochronie danych osobowych przetwarzanych w chmurze. Obejmuje zasady dotyczące prywatności, ograniczenia przetwarzania danych, ich minimalizacji oraz przejrzystości wobec użytkowników. W przeciwieństwie do ISO 27017, nie dotyczy całej infrastruktury, lecz konkretnie danych osobowych.
W ISO 27017 kluczowym elementem jest model współdzielonej odpowiedzialności, który określa, które elementy bezpieczeństwa należą do dostawcy chmury, a które do klienta. Dostawca odpowiada głównie za infrastrukturę i dostępność usług, natomiast klient za konfigurację, dane oraz zarządzanie użytkownikami.
W ISO 27018 nacisk położony jest na rolę dostawcy jako podmiotu przetwarzającego dane (data processor). Standard określa jego obowiązki w zakresie ochrony danych osobowych, przejrzystości przetwarzania oraz wsparcia klienta w realizacji praw osób, których dane dotyczą. Klient natomiast pozostaje administratorem danych i decyduje o celach ich przetwarzania.
ISO 27017 znajduje zastosowanie przede wszystkim w organizacjach, które korzystają z usług chmurowych lub je świadczą i potrzebują uporządkować kwestie bezpieczeństwa technicznego oraz organizacyjnego. ISO 27018 jest szczególnie istotny tam, gdzie w chmurze przetwarzane są dane osobowe i wymagane jest spełnienie wysokich standardów ochrony prywatności, w tym zgodności z RODO.
W wielu organizacjach oba standardy są stosowane równolegle, ponieważ się uzupełniają. ISO 27017 zapewnia ramy bezpieczeństwa dla całego środowiska chmurowego, a ISO 27018 dodaje warstwę ochrony danych osobowych. Takie podejście pozwala kompleksowo zarządzać zarówno infrastrukturą, jak i prywatnością danych.
Połączenie obu standardów pozwala lepiej uporządkować kwestie bezpieczeństwa w chmurze, ponieważ obejmuje zarówno aspekty techniczne, jak i związane z ochroną danych osobowych. Organizacje zyskują większą przejrzystość w zakresie odpowiedzialności, spójne podejście do zarządzania ryzykiem oraz lepsze dostosowanie do wymagań regulacyjnych, takich jak RODO. Dzięki temu bezpieczeństwo chmury nie jest traktowane fragmentarycznie, lecz jako spójny system obejmujący zarówno infrastrukturę, jak i dane, które są w niej przetwarzane.
DJB DORADZTWO
Marcin Chorąży
