一���、前言
云為組織和消費者帶來(lái)了諸多好處:節省成本�����,靈活性和對信息移動(dòng)便捷的訪(fǎng)問(wèn)等���。 但是它還引起了對數據保護和隱私的擔憂(yōu); 特別是圍繞個(gè)人身份信息(PII)數據的泄露����。
個(gè)人身份信息(PII)數據泄露的潛在風(fēng)險已成為國際首要議程�����。大量重大信息安全事件已將人們的注意力引向如何保護個(gè)人信息���。
而企業(yè)對安全的投入比以往更多����。根據IDC的統計�,到2020年��,全球IT安全支出達到1.016億美元��。
為了解決這一問(wèn)題��,國際標準化組織發(fā)布了ISO/IEC 27018標準�����。
已發(fā)布的ISO/IEC 27018標準要求那些已通過(guò)標準認證的云服務(wù)提供商���,告知其現有客戶(hù)和潛在客戶(hù)其數據受到保護�����,不會(huì )被用于未經(jīng)他們明確同意的任何目的��。
二��、什么是ISO/IEC 27018標準
ISO/IEC 27018《信息技術(shù)—安全技術(shù)—在充當PII處理器的公共云中保護個(gè)人身份信息(PII)的行為準則》是主要針對保護云中個(gè)人數據安全的行為準則����。它基于 ISO/IEC 27002標準��,提供了適用于公共云個(gè)人身份信息 (PII) 的 ISO/IEC 27002 控制措施實(shí)施指導����。此外�,它還提供了一組額外的控制措施和相關(guān)指導�,旨在解決現有的 ISO/IEC 27002 控制措施集未解決的公共云 PII 保護要求�。
三��、ISO/IEC 27018提供的安全控制措施
ISO/IEC 27018將ISO/IEC 27002中描述的一系列安全控制作為基礎����,然后以?xún)煞N方式擴展�����。首先����,在許多領(lǐng)域中擴展了現有的安全控制���,以處理云服務(wù)客戶(hù)和云服務(wù)供應商之間的責任���。其次�����,添加了一組新的安全控制��,以反映ISO/IEC29100隱私框架標準中定義的隱私原則���。
ISO/IEC 27018擴展的安全控制包括如下:
1�����、在存儲和任何可移動(dòng)的物理介質(zhì)中��,對PII進(jìn)行加密的要求
2�、一旦數據不再需要����,在指定的時(shí)間內刪除PII
3����、符合云服務(wù)協(xié)議中明文規定的目的時(shí)��,才進(jìn)行PII處理
4�����、如法規所明文規定�����,在處理PII原則的權利問(wèn)題上���,可檢查和糾正PII
四�、為什么要獲得ISO27017和ISO27018認證?
對于云提供商����,確保消費者信息的安全性是第一要務(wù)�����。 鑒于最近發(fā)生的破壞用戶(hù)數據的違規行為�,通過(guò)國際標準獲得認證可以為組織提供全球公認的安全控制�����。它還向云提供商的客戶(hù)展示了他們在保護消費者數據方面的重要性��。這為能夠宣稱(chēng)自己有能力確?��?蛻?hù)信息安全的公司提供了獨特的營(yíng)銷(xiāo)優(yōu)勢���。
雖然某些組織尋求認證以符合其獨特的法規需求或客戶(hù)的需求��,但其他組織應考慮ISO27017或ISO27018���,以最大程度地減少云服務(wù)組織固有的風(fēng)險和潛在的破壞成本��。 遵循嚴格的ISO27017和ISO27018準則�,您的組織可以放心地運作���,并在客戶(hù)中建立信任的聲譽(yù)��。
五���、ISO 27018有什么好處?
■ 增強信任——為客戶(hù)和利益相關(guān)者提供更大的保證����,即個(gè)人數據和信息受到保護��。
■ 競爭優(yōu)勢——通過(guò)最大限度地保護個(gè)人信息�,在競爭對手中脫穎而出
■ 保護品牌——減少由于數據泄露而引起的不利宣傳的風(fēng)險
■ 降低風(fēng)險——確保識別風(fēng)險���,并采取控制措施來(lái)管理或降低風(fēng)險
■ 防止罰款——確保遵守當地法規����,減少數據泄露的罰款風(fēng)險
■ 發(fā)展業(yè)務(wù)——提供不同國家/地區的通用準則�,使在全球開(kāi)展業(yè)務(wù)變得更容易�����,并可以作為首選供應商
