Go to Top

ISO 27018: Für eine bessere Cloud, keine schlechtere…

Cloud-Dienstleistungen

Die Familie der ISO/IEC 27xxx Normen wurde entwickelt, um die Nutzung der Informationstechnologien zu standardisieren. Die ISO 27018 Norm ist ein Standard, der vollständig auf Cloud-Dienstleistungen ausgerichtet ist und die erste, die von Microsoft für ihre Azure-Plattform eingesetzt wird. Aber was ist die Norm? Was beinhaltet sie?

Eine Standardisierung der Cloud scheint fast unmöglich zu sein.

Dennoch ist dies eine Frage der Methodik. Eine Aufgabe der ISO 27018 Norm ist es, dass Vertrauen der Kunden beim Einsatz von Cloud-Plattformen zu verbessern. Der Schutz personenbezogener Daten wird dabei als eine Schlüsselkomponente angesehen. Am 16. Februar diesen Jahres erklärte Brad Smith, Executive Vice President von Microsoft für den juristischen Bereich, dass es nicht nur für die Azure Plattform eine absolute Notwendigkeit ist, eine ISO/IEC 27018 Zertifizierung zu erhalten, sondern auch für Office 365 und der Dynamics CRM Lösung.

Tatsächlich gibt es sechs fundamentale Prinzipien, die die Art und Weise beschreiben, wie Daten nach den Wünschen der Europäischen Gemeinschaft aus dem Jahre 2012 geschützt werden sollen; bei der Haftungsfrage spricht man dabei von einer Cloud-Plattform auf Basis der ISO 27018 Norm.

  1. Datenkontrolle: Sie wissen immer, wo Ihre Daten gespeichert sind und Sie können den Datenlebenszyklus ständig kontrollieren
  2. Datennutzung: Ihre Daten werden nicht weiterverkauft oder zum Zwecke der Vermarktung eingesetzt.
  3. Datenschutz: Ihre hochgradig geschützten Daten werden mit den am besten geeigneten Sicherheits-Technologien geschützt, aber gleichzeitig muss auch gewährleistet sein, sie jederzeit wiederherzustellen und auf sie zugreifen zu können.
  4. Qualität der Cloud-Dienstleistungen: Der Dienstleister muss jederzeit klar und deutlich in der Lage sein, darzustellen, wie die konkreten Service-Bedingungen aussehen. Er muss alle Probleme, die auftreten, sowohl melden als auch zu ergreifende Maßnahmen mit großer Genauigkeit durchführen.
  5. Datenzugang für Behörden: Behörden können Zugang zu Ihren Daten bekommen, wenn sie, im Einklang mit geltendem Recht, über Dokumente verfügen, die ihnen das Recht dazu geben. Besonders dann, wenn sie bislang eine mangelnde Rechtseinhaltung gepflegt haben. Und zwar egal wo die Daten lagern: Ob in der Cloud oder woanders.
  6. Validierung durch eine dritte Partei: Jedes Jahr validiert ein vertrauenswürdiger Drittanbieter, ob die eingesetzten Dienstleistungen den Grundprinzipien der Norm sowie seiner Weiterentwicklungen entsprechen.

Wir werden im zweiten Teil dieses Artikels noch genauer auf die technischen Voraussetzungen zu sprechen kommen, die für die Verwirklichung dieser Eigenschaften notwendig sind. Dabei legen wir einen besonderen Fokus auf die Qualität der Cloud-Services und zeigen konkrete Beispiele, wie diese in der Praxis eingesetzt werden. Denn das Schlüsselwort ist hier „Vertrauen“ damit die ISO/IEC Norm die Profis in der Praxis auch wirklich begeistern kann.

Mehr Informationen über die Normen der Internationalen Organisation für Normung (International Standardization Organisation), ISO, lassen sich hier finden:

http://www.iso.org/iso/home.html
https://de.wikipedia.org/wiki/Internationale_Organisation_f%C3%BCr_Normung

Bildnachweis: flickr.com