ISO/IEC 27018 云隱私保護
對于組織和消費者而言,云具有大量?jì)?yōu)勢:比如節省成本、靈活性以及移動(dòng)訪(fǎng)問(wèn)信息均深受青睞。但云同樣也引發(fā)人們對數據保護和隱私方面的擔憂(yōu),尤其是涉及個(gè)人可識別信息。個(gè)人可識別信息(PII)包括任何可用以確定特定用戶(hù)身份的信息。比較直接的例子包括您的名字、聯(lián)系方式或您婚前的姓氏。但也有一些個(gè)人身份信息不常容易讓人聯(lián)想到, 例如病歷卡、IP地址和銀行對賬單。
ISO27018介紹
ISO/IEC 27018又稱(chēng)“云隱保護認證”,是由英國標準協(xié)會(huì )(BSI)制定,主要針對云服務(wù)商對云中個(gè)人數據的安全防護的國際標準認證,旨在為云個(gè)人身份信息處理者提供一套實(shí)務(wù)守則,以保護公共云中的個(gè)人身份信息(PII)不受侵犯,是目前國際上最權威、最嚴格、也是最被廣泛接受和應用的信息安全體系認證。作為最嚴格的安全防護認證之一,ISO/IEC 27018要求公有云服務(wù)必須保證清晰的透明度,用戶(hù)享有對其儲存數據完整的控制權,服務(wù)商必須將對數據的操作告知用戶(hù)并得到認同。
這一標準包含若干指南,根據ISO定義,這些指南旨在:
幫助公有云服務(wù)供應商在作為 PII處理者開(kāi)展業(yè)務(wù)時(shí)承擔必要的責任,無(wú)論此類(lèi)責任是否直接或通過(guò)合同明確。
使公有云PII處理者在相關(guān)事務(wù)中保持透明,從而讓客戶(hù)可以選擇經(jīng)過(guò)良好治理的,基于云的PII 處理服務(wù)。
協(xié)助客戶(hù)和公有云PII處理者達成合同協(xié)議。
為云服務(wù)客戶(hù)提供行使審核和合規權利及責任的機制。單獨的—個(gè)人云服務(wù)客戶(hù)審核托管在多方虛擬化服務(wù)(云)環(huán)境中的數據可能在技術(shù)上不切實(shí)際,同時(shí)可能增大物理及邏輯的網(wǎng)絡(luò )安全風(fēng)險。
ISO/IEC 27018能夠確保云服務(wù)供應商在處理PII方面有著(zhù)適當的程序。它還可以幫助制定更強的云服務(wù)協(xié)議。該標準就PII的問(wèn)題,規定了CSPs如何培訓員工,需要什么文件程序,并提供了相應的指導方針。ISO /IEC 27018旨在為云服務(wù)客戶(hù)提供真正的透明度,以便客戶(hù)能夠清楚了解云服務(wù)供應商商在保護和保護個(gè)人數據方面所做的事情。
在實(shí)施這一標準時(shí),企業(yè)須考慮到下列三個(gè)方面:
是否有企業(yè)必須遵守的現有法律和法規要求,包括任何行業(yè)特定規則和法規。
遵守ISO/IEC 27018是否會(huì )為企業(yè)招致更多風(fēng)險。
采用此標準是否會(huì )與企業(yè)的政策和企業(yè)文化背道而馳。
ISO27018好處
ISO27018&ISO27017區別
