ISO/IEC 27018包含什么?
这一标准包含若干指南,根据ISO定义,这些指南旨在:
1、帮助公有云服务供应商在作为PII处理者开展业务时承担必要的责任
2、使公有云PII处理者在相关事务中保持透明,从而让客户可以选择经过良好治理的,基于云的PII处理服务
3、协助客户和公有云PII处理者达成合同协议
4、为云服务客户提供行使审核和合规权利及责任的机制。单独的—个人云服务客户审核托管在多方虚拟化服务器(云)环境中的数据可能在技术上不切实际,同时可能增大物理及逻辑的网络安全风险
尽管这些只是一些尚待完善的原则,但如果审视这些原则的含义以及它们能够如何为客户提供帮助,我们就可看到,第一次有了针对个人数据处理的真正框架。
ISO/IEC 27018将ISO/IEC 27002中描述的一系列安全控制作为基础,然后以两种方式扩展。首先,在许多领域中扩展了现有的安全控制,以处理云服务客户和云服务供应商之间的责任。其次,添加了一组新的安全控制,以反映ISO/IEC29100隐私框架标准中定义的隐私原则。
扩展的安全控制包括如下:
1、在存储和任何可移动的物理介质中,对PII进行加密的要求
2、一旦数据不再需要,在指定的时间内删除PII
3、符合云服务协议中明文规定的目的时,才进行PII处理
4、如法规所明文规定,在处理PII原则的权利问题上,可检查和纠正PII
ISO/IEC 27018能够确保云服务供应商在处理PII方面有着适当的程序。它还可以帮助制定更强的云服务协议。该标准就PII的问题,规定了CSPs如何培训员工,需要什么文件程序,并提供了相应的指导方针。
ISO/IEC 27018旨在为云服务客户提供真正的透明度,以便客户能够清楚了解云服务供应商商在保护和保护个人数据方面所做的事情。
在实施这一标准时,企业须考虑到下列三个方面:
1、是否有企业必须遵守的现有法律和法规要求,包括任何行业特定规则和法规
2、遵守ISO/IEC 27018是否会为企业招致更多风险
3、采用此标准是否会与企业的政策和企业文化背道而驰
对于云计算行业需要标准化来提供充分而有效的信息安全是毫无疑问的。根据TrustE在2015年的一项调查,92%的英国网络用户担心其个人隐私。最大的问题是用户不知道他们在网上收集的个人信息是如何被使用的,以及公司分享个人信息的可能性。越来越多的消费者要求企业在采集、使用和保护其线上数据方面能够变得更加透明。
ISO/IEC 27018有助于将行业的关注焦点集中于提供更大的安全性,从而有效保护PII。这一标准已经获得一些主要的云服务供应商的支持:MicrosoftAzure,IBMSoftlayer,GoogleAppsforWork,亚马逊网络服务以及Dropbox均已获得ISO/IEC27018认证。预计更多云服务供应商将紧随其后,越来越多的企业将把更多的信息移至云端,以获得更大的技术灵活性和资源需求降低所带来的优势。不过,随着云技术被更广泛应用,安全(尤其是隐私)问题不容忽视。
欧洲法规的实施将确保隐私保护所采用的新方式成为当今的新秩序。
ISO/IEC 27018为客户和云服务供应商等提供了一套针对PII适当保护的指导方针。
它不是国家和国际法规的替代,广泛采用这一标准也不意味着服务供应商自动遵循了相关法规要求,但是,它将成为发展道路中的重要一步。