معيار ISO 27018 – ضوابط حماية معلومات التعريف الشخصية (PII) في الخدمات السحابية العامة

في حين أن تقنيات الحوسبة السحابية آخذة في الانتشار والتوسّع في جميع المؤسسات والشركات حول العالم بسبب المزايا الكثيرة التي توفّرها (حيث ارتفع معدل الإنفاق على السحابة بنسبة 37% في عام 2020، وفقاً لدراسة أجرتها شركة PWC)، وقد أدت هذه الزيادة إلى زيادة الهجمات الإلكترونية.

مما جعل قضايا الخصوصية والرقابة تُشكّل هاجس وتثير مخاوف العملاء بشأن حماية المعلومات قبل اتّخاذهم لقرار استخدام الحلول السحابية.

وذلك يرجع لسبب جهل كثير من العملاء بكيفية تطوير الخدمات السحابية، والافتقار إلى المعلومات اللازمة عن كيف يقوم مقدمي الخدمات بمعالجة معلوماتهم داخل السحابة، وما الذي يحدث في حالة رغبتهم في الانتقال إلى مزوّد خدمة آخر أو قيام مُقدّم الخدمة بإنهاء تشغيل الخدمة أو تغيير شروط وسياسات الاستخدام؟

لذلك، وضعت المنظمة الدولية لتوحيد المقاييس (الآيزو) واللجنة الكهروتقنية الدولية معايير قياسية دولية تساهم في حماية البيانات الشخصية الموجودة في السحابة، كان من ضمنها معيار ISO 27018: المعيار المخصّص لحماية معلومات التعريف الشخصية (PII) في خدمات الحوسبة السحابية العامة (Public Cloud Computing).

ما هو الآيزو 27018 (ISO 27018)؟

قبل أن نُعرّف معيار الآيزو / آي إي سي 27018، يجب توضيح أنّ المقصود بمعلومات التعريف الشخصية PII هي المعلومات التي يمكن أن تُحدّد هوية شخص معين والتي تميّز شخصاً عن غيره، ومن أمثلتها: الاسم الكامل للشخص، رقمه الوطني، ورقم جواز سفره، وصورته.. وغيرها الكثير.

ISO/IEC 27018 هو معيار دولي يُقدّم مجموعة إرشادات تحمي مقدمي الخدمات السحابية العامة الذين يعالجون معلومات التعريف الشخصية للعملاء، كما يُقدّم مجموعة من الضوابط التي يتعين على مقدمي خدمات السحابة تنفيذها لحماية معلومات التعريف الشخصية (PII) للعملاء بما يتوافق مع مبادئ الخصوصية.

يهدف المعيار إلى معالجة مخاطر الحوسبة السحابية العامة، والمساعدة في بناء الثقة بين مزودي خدمات الحوسبة السحابية والعميل. وهو يوفر مجموعة من الضوابط التي يحتاج مزودي خدمات السحابية إلى تنفيذها من أجل معالجة المخاطر المحددة، وتقديم إرشادات حول ما يحتاج إليه مزودي خدمات السحابة لتحقيق ذلك من حيث الالتزامات التعاقدية والتنظيمية.

ويعدُّ معيار الآيزو 27018 معياراً قابلاً للتدقيق والمراجعة.

ما هي مزايا ISO / IEC 27018؟

تُشير دراسة أجرتها شركة “برايس ووتر هاوس كوبرز” إلى أن 85% من المستهلكين لن يقوموا بعمل علاقات ومعاملات تجارية مع شركة ما إذا كانت لديهم مخاوف بشأن ممارساتها الأمنية”. وببساطة، يشكل الامتثال لمعيار الآيزو 27018 ميزة تنافسية لكل من مقدمي الخدمات السحابية وعملائهم، وهذه بعض مزايا الامتثال للمعيار:

  1. يزيد ثقة العملاء وأصحاب المصلحة بأن البيانات والمعلومات الشخصية محمية وفق أفضل الممارسات العالمية.
  2. يمنحك ميزة تنافسية عن منافسيك من خلال إثبات بأنك تُطبّق أفضل الممارسات لحماية المعلومات الشخصية.
  3. حماية علامتك التجارية – يقلل من مخاطر الدعاية السلبية بسبب انتهاكات البيانات.
  4. يقلل المخاطر – يضمن تحديد المخاطر ووضع الضوابط لإدارتها أو تقليل آثارها.
  5. الحماية من العقوبات القانونية، حيث يضمن المعيار الامتثال للوائح المحلية، مما يقلل من مخاطر عقوبات انتهاكات البيانات.
  6. يساعد في تنمية أعمالك – يوفر المعيار ضوابط مشتركة عالمية، ممّا يسهل تنمية الأعمال وعمليات التوسّع المستقبلية في أي بلد.
  7. يُستخدم المعيار من قبل مقدمي خدمات السحابة كدليل لإخبار عملائهم الحاليين والمحتملين أن بياناتهم محمية بأفضل الطرق، ولن تُستخدم لأي غرض دون موافقتهم.

مبادئ الآيزو 27018

  1. الموافقة: يجب على مُقدّم الخدمات السحابية ألا يستخدم بيانات العملاء الشخصية لأغراض الإعلان والتسويق ما لم يبلغهم بذلك صراحةً.
  2. ينبغي أن يكون العميل قادراً على استخدام الخدمة دون الحاجة إلى الموافقة على أي شروط أو سياسات تفرض استخدام بياناتهم للإعلان أو التسويق.
  3. التحكم الكامل بالمعلومات من حق العميل: للعميل سيطرة كاملة على كيفية استخدام مُقدّم الخدمة لمعلوماتهم.
  4. الشفافية: يجب على مقدمي الخدمات السحابية إبلاغ الزبائن بمكان وجود بياناتهم، وأيضاً إلى إبلاغ الزبائن إذا كنت تتعاون مع جهة خارجية لمعالجة المعلومات الشخصية.
  5. تأكّد من أن لديك سياسة للتخلص من البيانات غير المستخدمة. على سبيل المثال، إذا أنهى أحد العملاء اتفاقية العمل معك، فيجب أن يكون لديك خطة للتخلص من بياناته أو إرجاعها.
  6. ينبغي على مقدمي الخدمات السحابية أن يحرروا تقارير شاملة عن أي حادث أمني يواجهونه، وبالإضافة إلى ذلك، يجب إبلاغ العميل بالخطوات الواجب عليه القيام بها لحماية البيانات.
  7. مراجعة الامتثال من قبل جهة خارجية باستمرار
  8. تأكّد من أن كل موظف يعمل في شركتك، ويملك صلاحية الوصول إلى بيانات العملاء، يخضع لاتفاقية عدم الإفصاح.

حالة المعيار: ما الفرق بين ISO 27018:2014 و ISO 27018:2019؟

نُشر معيار ISO 27018 لأول مرة في عام 2014 تحت مُسمّى (ISO/IEC 27018:2014)، وكانت آخر مراجعة له في عام 2019، ونُشر حينها تحت مُسمّى جديد وهو (ISO/IEC 27018:2019).

والفروق بين النسختين طفيفة تكاد لا تُذكَر، ولا يوجد تغيير في الممارسات المذكورة لحماية المعلومات. وهذا ما تُأكّده منظمة الآيزو في وثيقة نسخة 2019، حيث ينص القسم الثاني من الوثيقة بما يلي: “النسخة الثانية تُلغى وتحل بدلاً من النسخة الأولى (ISO/IEC 27018:2014)، وإنَّ التنقيحات الجديدة أتت لتصحيح خطأ تحريري في النسخة الأولى”.

نطاق معيار الآيزو 27018

يُحدد المعيار الضوابط والمبادئ التوجيهية لتنفيذ تدابير أمنية لحماية معلومات التعريف الشخصية (PII) في بيئة الحوسبة السحابية العامة.

تنطبق هذه الضوابط على جميع أنواع وأحجام المؤسسات، بما في ذلك الشركات العامة والخاصة والهيئات الحكومية والمنظمات غير الربحية، التي تقوم بمعالجة المعلومات الشخصية للعملاء عبر خدمات الحوسبة السحابية التي تُقدّمها.

هيكل معيار الآيزو 27018

يشتمل معيار ISO / IEC 27018: 2019 على ثمانية عشر قسماً بالإضافة إلى ملحق طويل يُغطي:

1 نطاق العمل

2. المراجع المعيارية

3. المصطلحات والتعاريف

4. نظرة عامة

5. سياسات أمن المعلومات

6. تنظيم أمن المعلومات

7. أمن الموارد البشرية

8. إدارة الأصول

9. إدارة صلاحيات الدخول

10. التشفير

11. الأمن المادي والبيئي

12. أمن العمليات

13. أمن الاتصالات

14. إنشاء النظام وتطويره وصيانته

15. علاقات الموردين

16. إدارة حوادث أمن المعلومات

17. جوانب أمن المعلومات في إدارة استمرارية الأعمال

18. الامتثال

الآثار المترتبة على عدم تطبيق معيار الآيزو 27018

يمكن أن يؤدي عدم الالتزام بالممارسات التنظيمية الصحيحة والامتثال التعاقدي إلى تعرّض المنظّمة لمخاطر العقوبات والتدابير ذات الطبيعة التشغيلية، على سبيل المثال لا الحصر: وقف أنشطة الشركة وحرمانها من استمرار تقديم خدماتها.

هذا بالإضافة إلى خطر الاختراق، وخطر الضرر بالسمعة والصورة العامة للعلامة التجارية تجاه العملاء والشركاء وأصحاب المصلحة، فتُشير الإحصائيات إلى أنَّ 65% إلى 80% من المستهلكين يفقدون الثقة في شركة تعرضت لاختراق أمني وإفشاء البيانات!

وأيضاً التكلفة الباهظة لتنفيذ الإجراءات التصحيحية اللازمة (تُشير دراسة أجرتها شركة IBM عام 2020 إلى أنَّ تكاليف خرق البيانات تُقدَّر بـ 3.85 مليون دولار )

كيف يمكن لشركة ريناد المجد لتقنية المعلومات (RMG) مساعدتك؟

نوفر باقات مختلفة من الخدمات لكل عميل وفقاً لمتطلباته الخاصة، وتشمل:

  • إجراء تحليل الفجوة للمساعدة في تحديد نقاط القوة والضعف لدى منظّمتك، وتقديم التوصيات المناسبة.
  • تقديم استشارات ISO 27018 – لدينا فريق من +60 استشاري وخبير في مجالات مختلفة لمساعدتك في تطبيق معيار الآيزو 27018.
  • إجراء عمليات التدقيق الداخلي – يمكننا مساعدتك في تخطيط وإجراء عمليات التدقيق الداخلي للتحقق من امتثالك لمعيار ISO 27018. سنقوم بإرشادك خطوة بخطوة حتى حصولك على الاعتماد الدولي.
  • تصميم وتطبيق الضوابط والسياسات والإجراءات الأمنية داخل مؤسستك/ شركتك وتقديم الدعم المناسب.
  • يمكننا تقديم الدعم أثناء عمليات التدقيق الخارجية التي تجريها هيئات التصديق.
  • تأهيل وتوظيف الكوادر الأمنية، وتأسيس أقسام ومكاتب الأمن الإلكتروني داخل المؤسسة.
  • جلسات توعية ودورات تدريبية عن الأمن السحابي؛ لنقل ونشر المعرفة وتعزيز مهارات الموظفين في مؤسستك.
  • تركيب وتشغيل الحلول الأمنية (المادية والإلكترونية).
  • صياغة منهجية مناسبة للاستجابة للحوادث الأمنية المتعلقة بالخدمات السحابية والإبلاغ عنها.

لماذا تختار شركة ريناد المجد لتقنية المعلومات (RMG)؟

1.     عند طلبك لخدمات شركة ريناد المجد (RMG)، تُتاح لمنظّمتك فرصة الاستفادة من +60 استشاري وخبير في مجالات الأمن السيبراني، وتقنية المعلومات، ومعايير الجودة العالمية.

2.     تمتاز الشركة بالمرونة، ودقة التنفيذ، وإظهار النتائج بشكل سريع؛ كونها تُدرك جيداً الأبعاد العميقة للمحاور الواردة في الوثائق.

3.     لدينا فرق عمل خبيرة في مجالات اختبارات الاختراق، وتقييم الثغرات الأمنية، وإجراء تحليل الفجوات.

4.     لدينا خبرة طويلة في قطاعات الأعمال المختلفة، مثل: التجزئة، الرعاية الصحية، الصناعة، التعليم، القطاعات الخدمية.

5.     ولأنَّ الحوادث الأمنية تحتاج ردة فعل سريعة، لدينا مركز دعم يعمل على مدار الساعة (24 ساعة /7 أيام)؛ لنستطيع تقديم الدعم المناسب في جميع الأوقات دون انقطاع.

6.     عَمَلُنا قائم على مبدأ “الشفافية أولاً”، حيث نُقدّم خطط عمل تفصيلية قبل الشروع بتنفيذ المشروع.

7.     نلتزم –خلال جميع مراحل تنفيذ المشروع– بجميع الأنظمة والقواعد المطبّقة في المملكة فيما يخص السلامة والصحة والبيئة.

8.     لدينا مكتب إدارة مشاريع يقوم بجميع أعمال التنسيق والإشراف على المشروع.

تواصل معنا اليوم وسنكون سعداء بخدمتك

الأسئلة المتكررة

هو المعيار الدولي الأول لحماية معلومات التعريف الشخصية (PII) الموجودة لدى مزودي الخدمات السحابية العامة.

هي المعلومات التي تستطيع من خلالها تحديد هوية الشخص. يمكن أن تتضمن معلومات تحديد الهوية الشخصية ما يلي:

  • اسم الشخص
  • تاريخ ميلاده
  • مكان السكن
  • عنوان IP الخاص به
  • التفاصيل المصرفية
  • سجلات طبية

معيار الآيزو 27018 هو واحد من مجموعة معايير إدارة أمن المعلومات (ISO 27000)، ويتشارك مع بعضها بالعديد من النقاط.

معيار ISO 27001 هو المعيار الذي يُحدّد متطلبات إنشاء نظام إدارة أمن المعلومات – ISMS. وهو أيضاً المعيار الدولي لأمن البيانات.

ولأن ISO 27018 يوفّر إرشادات حول حماية معلومات البيانات الشخصية داخل الخدمات السحابية، فيمكن تنفيذ المعيارين معاً لتطبيق نظام إدارة أمن المعلومات ويشمل الأمن السحابي.

  • يقلل من مخاطر اختراق البيانات في السحابة والغرامات التنظيمية ذات الصلة
  • يُعزّز ثقة العملاء في مزوّد الخدمات السحابية
  • حماية سمعة العلامة التجارية