Tässä kansainvälisessä standardissa esitetään yleisesti hyväksytyt hallintatavoitteet, hallintakeinot ja ohjeet toimenpiteiden toteuttamiseen henkilötietojen suojaamista varten standardin ISO/IEC 29100 tietosuojaperiaatteiden mukaisesti julkisen pilvilaskennan toimintaympäristössä. Tämä kansainvälinen standardi sisältää ohjeita, jotka perustuvat standardiin ISO/IEC 27002. Niissä huomioidaan henkilötietojen suojaamista koskevat viranomaisvaatimukset, joita voi liittyä siihen tietoturvallisuusriskien ympäristöön, jossa julkisten pilvipalveluiden tuottaja toimii. Tätä kansainvälistä standardia voidaan soveltaa kaiken tyyppisiin ja kokoisiin organisaatioihin, kuten julkisiin ja yksityisiin yrityksiin, viranomaistahoihin ja voittoa tavoittelemattomiin organisaatioihin, jotka pilvilaskennan avulla tuottavat tietojenkäsittelypalveluita käsittelijän roolissa muiden organisaatioiden kanssa solmitun sopimuksen perusteella. Tässä kansainvälisessä standardissa esitetty ohjeistus voi olla soveltuvaa myös rekisterinpitäjinä toimiville organisaatioille, mutta rekisterinpitäjiä saattavat koskea myös muut henkilötietojen suojaamista koskevat lait, määräykset ja velvoitteet, jotka eivät koske käsittelijöitä. Tässä kansainvälisessä standardissa ei käsitellä näitä velvoitteita.
Tämän julkaisun valmistelusta Suomessa vastaa SFS Suomen Standardit, puh. 09 149 9331.
Sisällysluettelo
Foreword
0 Introduction
1 Scope
2 Normative references
3 Terms and definitions
4 Overview
4.1 Structure of this standard
4.2 Control categories
5 Information security policies
5.1 Management direction for information security
6 Organization of information security
6.1 Internal organization
6.2 Mobile devices and teleworking
7 Human resource security
7.1 Prior to employment
7.2 During employment
7.3 Termination and change of employment
8 Asset management
9 Access control
9.1 Business requirements of access control
9.2 User access management
9.3 User responsibilities
9.4 System and application access control
10 Cryptography
10.1 Cryptographic controls
11 Physical and environmental security
11.1 Secure areas
11.2 Equipment
12 Operations security
12.1 Operational procedures and responsibilities
12.2 Protection from malware
12.3 Backup
12.4 Logging and monitoring
12.5 Control of operational software
12.6 Technical vulnerability management
12.7 Information systems audit considerations
13 Communications security
13.1 Network security management
13.2 Information transfer
14 System acquisition, development and maintenance
15 Supplier relationships
16 Information security incident management
16.1 Management of information security incidents and improvements
17 Information security aspects of business continuity management
18 Compliance
18.1 Compliance with legal and contractual requirements
18.2 Information security reviews
Annex A Public cloud PII processor extended control set for PII protection (normative)
ISO/IEC 17788 Information technology — Cloud computing — Overview and vocabulary
ISO/IEC 27000:2014 Information technology — Security techniques — Information security management systems — Overview and vocabulary
ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements
ISO/IEC 17788 Information technology — Cloud computing — Overview and vocabulary
ISO/IEC 27000:2014 Information technology — Security techniques — Information security management systems — Overview and vocabulary
ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements
ISO/IEC 27002:2013 Information technology — Security techniques — Code of practice for information security controls
ISO/IEC 29100:2011 Information technology — Security techniques — Privacy framework