ISO27018认证标准简介 公有云隐私安全PII保护体系ISO27018介绍
发布时间: 2021-04-25 12:50 点击:
这一标准包含若干指南,根据 ISO 定义,这些指南旨在:
• 帮助公有云服务供应商在作为 PII 处理者开展业务时承担必要的责任,无论此类责任是否直接或通过合同明确应;
• 使公有云 PII 处理者在相关事务中保持透明,从而让客户可以选择经过良好治理的,基于云的 PII 处理服务;
• 协助客户和公有云 PII 处理者达成合同协议;
• 为云服务客户提供行使审核和合规权利及责任的机制。单独的—个人云服务客户审核托管在多方虚拟化服务器(云)环境中的数据可能在技术上不切实际,同时可能增大物理及逻辑的网络安全风险。
尽管这些只是一些尚待完善的原则,但如果审视这些原则的含义以及它们能够如何为客户提供帮助,我们就可看到,第一次有了针对个人数据处理的真正框架。ISO/IEC27018 将 ISO/IEC27002 中描述的一系列安全控制作为基础,然后以两种方式扩展。首先,在许多领域中扩展了现有的安全控制,以处理云服务客户和云服务供应商之间的责任。其次,添加了一组新的安全控制,以反映 ISO/IEC 29100 隐私框架标准中定义的隐私原则。
ISO27018认证标准扩展的安全控制包括如下:
• 在存储和任何可移动的物理介质中,对 PII 进行加密的要求;
• 一旦数据不再需要,在指定的时间内删除 PII; • 符合云服务协议中明文规定的目的时,才进行 PII 处理;
• 如法规所明文规定,在处理 PII 原则的权利问题上,可检查和纠正 PII。 ISO/IEC27018 能够确保云服务供应商在处理 PII 方面有着适当的程序。它还可以
帮助制定更强的云服务协议。该标准就 PII 的问题,规定了 CSPs 如何培训员工,需要什么文件程序,并提供了相应的方针和知道。ISO/IEC27018 旨在为云服务客户提供真正的透明度,以便客户能够清楚了解云服务供应商商在保护和保护个人数据方面所做的事情。
在实施ISO27018认证标准时,企业须考虑到下列三个方面:
•是否有企业必须遵守的现有法律和法规要求,包括任何行业特定规则和法规;
•遵守 ISO/IEC 27018 是否会为企业招致更多风险;
•采用此标准是否会与企业的政策和企业文化背道而驰。
中鸿认证服务 www.cnqr.org 1998年至今 直办非中介 全国接单 远程或就近安排审核
新系统集成资质CS/ITSS/CCRC/DCMM认证,ISO三体系,售后服务/诚信认证,软件CMMI评估,互联网ISO27001/ISO27701/ISO20000认证,食品HACCP/ISO22000/BRC/绿色食品/有机食品,汽车16949认证,军工三证,实验室CMA/CNAS/10012,社会责任SA8000/ISO26000,医疗器械13485,知产贯标/能源体系/业务连续性等,产品认证(3C/绿色产品/十环)各类AAA信用评级等等,详见空间。
1.诚聘专兼职审核员(全国),专职咨询老师(成都),专职市场专员 年薪10-35万
2.全国诚招ISO认证代理人(免费),转发信息即佣金。免费培训。
3.本年度ISO内审员免费培训,每月免费名额有限,从速预计。