ISO27018认证咨询辅导|ISO27018是什么?能够为客户提供什么?它又为何如此重要?

ISO/IEC 27018标准简介

ISO/IEC 27001一直沿用至今。为了处理云计算技术所引|发的问题，ISO于201 4年秋季创立了- -项新的标准ISO/IEC 27018.云服务供应商要采用这一标准以确保客户数据安全, 让客户能够安枕无忧。这一新标准是对ISO/IEC 27001和ISO/IEC 27002标准的扩展,为云服务供应商如何处理个人可识别信息(PII)的企业提供了指南。对于企业而言，这有点像法律”雷区” ，原因之- -在于 《欧盟-般数据保护条例》(EUGDPR)经过长时间才予以通过,不过，首先需要做的是明确一-些法律定义。最关键的定义是PII本身,这是所有讨论的基础。

PlI被定义为:

(a)可被用于识别与此类信息相关的PII当事人;

(b)可直接或间接与PII当事人关联的任何信息。

ISO/IEC27018是公有云服务中个人可识别信息保护的-种行为准则。它在体系结构上沿用了被广泛使用且备受重视的ISO/IEC 27002信息安全控制行为准则的框架。那么, ISO/IEC2701 8能够为客户提供什么?它又为何如此重要?

个人数据泄露的潜在风险已成为国际首要议程。大量重大信息安全事件已将人们的注意力弓|向如何保护自己的个人详细信息。如果审视一系列安全事件以及受影响的人员的数量,您就会清晰了解这- -问题的严重程度:涉及超过2100万名政府雇员的美国人事管理局(US Ofice of Personnel Management)的数据被窃取;针对英国电信运营商维尔豪思(Carphone Warehouse)的攻击使其200多万客户受到影响。这些只是2015年一个季度所发生攻击事件的冰山- -角。 实际上根据泄露等级指数( BreachLevellndex,BLI)统计, 201 5年7.075亿数据被泄露。

而企业对安全的投入比以往更多。根据IDC的统计，到2020年，全球IT安全支出达到1.01 6亿美元。

许多人已经深谙黑客与社会格格不入的形象;大部分源自外部的攻击均是由组织有序的犯罪团伙或国家资助的机构所操纵，要采取措施应对此类威胁极其困难。另-一个更大的潜在风险是企业内部人员蓄意或无意地为攻击”敞开大门”。

内部威胁相比之下更加危险，因其往往未被报道或被刻意掩饰。根据普华永道(PricewaterhouseCooper)的研究3.75%遭受因员工所导致的安全攻击的企业既未被执法，也未受到法律指控。这意味着，此类企业的客户面临遭受攻击的风险，任何在未来雇佣此类人员的公司可能无从知晓其以往的所作所为，从而可能为未来攻击留下可乘之机。

201 6年上半年就出现64%已识别的数据泄露盗窃,致使保护个人数据令人如此不安,这也丝毫不足为奇怪,特别是，人们为何对云如此恐惧却对于委托云服务供应商管理数据一直保持着沉默?

正是出于这些原因，欧盟已实施关于数据保护的新法规，试图在整个欧洲大陆协调法律状况。在欧洲，有各种各国特定的数据保护法，这使得云服务供应商的运营极其困难。云可以跨越国际界限，而各个国家的数据安全管理法规却存在差异。

企业和云服务供应商拥有和管理数据的方式也是问题的一部分一存在法律分责的情况。 它们代表其客户管理数据，而客户则对此类数据所发生的情况承担着法律责任。

企业真正担忧的焦点在于:所有云服务供应商都乐于谈及其安全专业知识、对于数据保护的投入力度以及设置的防范数据威胁的“屏障”，但潜在焦虑是云服务供应商是否与客户采取相同的方式来对待机密数据。

于数据保护领域，欧盟正在引入一致性, 而美国的状况则不同。

- -些国家缺乏监管个人数据使用方式的国家法规。各个国家的不同政策还可能导致一定程度的混淆。不同行业的不同法规需求又加剧了这种混淆。所有这些因素相结合促使制定一致的数据保护政策绝非易事。

为了解决这一问题，美国国家标准技术研究院(National Institute of Standards Technology, NIST)于201 5年8月建议联邦机构“在其任务和决策活动中使用有效和适用的网络安全国际标准”。随着美国政府机构实施这些标准，它们将要求其承包商和供应链也符合各种标准的要求。

什么是ISO27018？

ISO 27018是针对云服务提供商的第一个针对隐私的国际标准，该标准是针对云计算服务量身定制的。它包含有关减少公共云产品中适用于PII的信息安全风险的特定指南。它的构造 是对ISO/IEC 27001:2013附录A中的控件集的补充，并包括云服务提供商特有的扩展控件,这些控件与ISO 29100中的1 1条隐私原则相关。

关键准则

ISO2701 8概述了认证的云服务提供商可以在其控制框架中包括的几个关键准则，以证明它们符合标准。

这些准则包括:

除非客户同意，否则PII不能用于商业营销或广告目的。客户可以控制自己的数据， 并且云提供商只能按照客户的指示来处理PII。

通过公共网络传输，存储在移动设备上或恢复或还原数据时，云服务提供商需要以特定方式处理PII。云服务提供商(和相关人员)还必须签署保密协议，并为将直接处理PII的员工提供专门培训。

如果发生数据泄露，提供者应立即通知客户，保持事件的清晰记录，并协助其客户继续遵守其自身的安全义务。

在签署合同之前，云服务提供商必须披露任何子处理器的名称(以及有关PII可能在何处处理的任何位置信息)。如果提供商在合同中途更改了子处理器，则它还必须披露此信息，并向客户提供终止合同的权利。

尽管该全球标准特别适用于云中的PII带来了好处，但绝大多数云提供商仍未赶上潮流。但是与行业紧密相关的人士认为，大市场期望符合ISO 2701 8标准只是时间问题。

相关：ISO9001认证，ISO14001认证，ISO45001认证，ISO50001认证，ISO55001认证，ISO37001认证，GBT29490认证，QC080000认证，RSPO认证，CmiA认证，EUROPEAN FLAX认证，FAIR TRADE认证，CIG 023认证，GBT50430认证ISO22716(GMPC)认证，ISO22301认证，CAP认证，DILAC国防科技工业实验室认证认可认证，ISO15378认证，ISO15189认证，ISO17025认证，ISO10012认证，能源之星实验室认可认证，药品GMP认证，GLP认证，COS认证，EU-GMP认证，GSP认证，国产药品再注册，ISO27001认证，ISO27017认证，ISO27018认证，ISO27701认证，ISO20000认证，CMMI认证，ITSS认证，TL9000认证，两化融合贯标辅导，GJB9001C认证，AEO认证，GRS认证，RCS认证，GOTS认证，LWG认证，BLUESIGN认证