ISO27018 公有云個(gè)人可識別信息管理體系

備注：本文檔僅用于學(xué)習知識傳播，如有侵權請聯(lián)系我們刪除!

ISO 27018是針對云服務(wù)提供商的第一個(gè)針對隱私的國際標準，該標準佳是針對云計算服務(wù)量身定制的。

它包含有關(guān)減少公共云產(chǎn)品中適用于PII的信息安全風(fēng)險的特定指南 。 它的構造是對ISO/IEC 27001∶2013附錄A中的控件集的補充，并包括云服務(wù)提供商特有的擴展控件，這些控件與ISO 29100中的11條隱私原則相關(guān)。

關(guān)鍵準則

ISO27018概述了認證的云服務(wù)提供商可以 在其控制框架中包括的幾個(gè)關(guān)鍵準則，以證明它們符合標準。

這些準則包括∶

• 除非客戶(hù)同意，否則PII不能用于商業(yè)營(yíng)銷(xiāo)或廣告目的。 客戶(hù)可以控制自己的數據，并且云提供商只能按照客戶(hù)的指示來(lái)處理PII。

• 通過(guò)公共網(wǎng)絡(luò )傳輸，存儲在移動(dòng)設備上或恢復或還原數據時(shí)，云服務(wù)提供商需要以特定方式處理PII。 云服務(wù)提供商（和相關(guān)人員）還必須簽署保密協(xié)議，并為將直接處理PII的員工提供專(zhuān)門(mén)培訓。

• 如果發(fā)生數據泄露，提供者應立即通知客戶(hù)，保持事件的清晰記錄，并協(xié)助其畜戶(hù)繼續遭守其自身的安全義務(wù)。

• 在簽署合同之前，云服務(wù)提供商必須披露任何子處理器的名稱(chēng)（以及有關(guān)PII可能在何處處理的任何位署信息）。 如果提供商在臺同中途更改了子處理器，則它還必須披露此信息，并向客戶(hù)提供終止合同的權利。

盡管該全球標準特別適用于云中的PII 帶來(lái)了好處，但絕大多數云提供商仍未趕上潮流。 但是與行業(yè)緊密相關(guān)的人士認為，大市場(chǎng)期望符合ISO 27018標準只是時(shí)間問(wèn)題。

將ISO 27018納入您的合規性框架的好處：

1、增強客戶(hù)信心

首先，客戶(hù)可以放心地信任可以證明第三方針對特定市場(chǎng)的最佳實(shí)踐進(jìn)行驗證的云服務(wù)提供商。如果云服務(wù)提供商符合 ISO 27018，則意味著(zhù)它對如何安全地處理PII具有深刻的理解，并致力于保護其客戶(hù)數據。這有助于將其品牌與競爭對手區分開(kāi)來(lái)。

2、簡(jiǎn)化的全球運營(yíng)

因為ISO 27018準則是通用的，并且適用于美國以外的其他國家，所以一致性使云服務(wù)提供商更容易參與全球市場(chǎng)，客戶(hù)也更容易簽署國際合同。

3、更快的合同流程

客戶(hù)要求云服務(wù)提供商回簽看關(guān)其處理PII的標準佳實(shí)轉的幾，個(gè)問(wèn)題并不/少I。遭循 【SO27018許客這此問(wèn)題都可以通過(guò) 您的可交付成果解決。

4、還有網(wǎng)絡(luò )保險的問(wèn)題。網(wǎng)絡(luò )保險對于支付數據泄露或基他隱私侵犯的費用是必要的。它很昂貴，缺乏標準，并且會(huì )快速破壞合同流程。但是網(wǎng)絡(luò )保險公司更喜歡看到安全證書(shū)，例如ISO 27018，它們的條款和條件反映了這一點(diǎn)。