ISO/IEC 27018 公有云个人信息安全管理体系
个人数据泄漏的潜在风险已成为国际首要议题,大量重大信息安全事件已将人们的注意力引向如何保护自己的个人详细信息。现如今,越来越多的个人和消费层面的应用均为云端应用。云为组织和消费者带来了诸多好处:节省成本,增加对信息的移动访问的灵活性。它同时也引起了对数据保护和隐私的担忧,特别是个人身份信息 (PII),PII被定义为可用于识别与此类信息相关的PII当事人以及可直接或间接与PII当事人关联的任何信息。
对用户而言,如果一个云服务提供商 (GSP) 能提供安心和信心给到其用户,证明其云服务是可靠的、符合适用法规和合同要求的,并对其能采用最好的行业实践,那么该云服务提供商将成为用户的最佳选择。在这种实际需求存在的背景下,ISO/IEC 27018应运而生。
ISO/IEC 27018是公有云服务中个人可识别信息保护的一种行为准则,以允许基础结构已通过标准认证的GSP告知其现有客户和潜在客户其数据受到保护,不会被用于未经他们明确同意的任何目的。ISO/IEC 27018提供了普遍接受的控制目标、实施措施保护个人可识别信息 (PII) 的控制和指导,使其与ISO/IEC 29100的隐私原则和世界各地的个人数据隐私法规一致。ISO/IEC 27018能够确保云服务供应商在处理PII方面有着适当的程序,它还可以帮助制定更强的云服务协议,旨在为云服务客户提供真正的价值与透明度。