-
体系咨询
- ISO27001 信息安全管理
- ISO20000 信息技术服务管理
- ISO22301 业务连续性管理
- ISO27017 云服务信息安全
- ISO27018 公有云隐私安全
- ISO27701 隐私信息管理
- ISO9001 质量管理
- ISO14001 环境管理
- ISO45001 职业健康安全管理
- ISO22000 食品安全管理
- ISO13485 医疗器械质量管理
- ISO50001 能源管理
- ISO29151 个人身份信息保护
- IATF16949 汽车行业质量管理
- AS9100 航空质量管理
- GB/T31950 诚信管理体系
- GB/T23794 企业信用评价
- QC080000 有害物资过程管理
- HACCP 危害分析与关键点控制
- SA8000 社会责任管理
- SB/T10962 商品经营企业服务质量
- SB/T11045 住宿,食品饮料服务
- GB/T27922 商品售后服务评价
- GB/T20647 不动产(物业)服务
- GB/T29490 知识产权管理
- FSC 森林认证
- IS026262 汽车功能安全
- 资质认证咨询
- 产品认证咨询
- 管理培训
什么是ISO/IEC27018
2021-07-09 15:32
1. 什么是ISO/IEC27018?
ISO27018是保护公有云服务中个人身份信息(PII)的国际标准,也是目前国际公认最权威的云上个人隐私保护认证,是ISO/IEC27001和ISO/IEC27002标准的拓展,为云服务供应商如何处理个人可识别信息(PII)的企业提供了指南。
2. 什么是PII?
PII被定义为:
--可被用于识别与此类信息相关的PII当事人;
--可直接或间接与PII当事人关联的任何信息。
3. ISO/IEC27018包含哪些原则性内容?
根据ISO定义,这些指南旨在:
——帮助公有云服务供应商在作为PII处理者开展业务时承担必要的责任‘;
——使公有云PII处理者在相关事务中保持透明,从而让客户可以选择经过良好治理的,基于云的PII处理服务;
——协助客户和公有云PII处理者达成合同协议。
——为云服务客户提供行使审核和合规全力及责任的机制。单独的一个人云服务客户审核托管在多方虚拟化服务器(云)环境中的数据可能在技术上不切实际,同时可能增大物理及逻辑的网络安全风险。
4. ISO/IEC27018适用范围有哪些?
ISO/IEC27018:2019于2019年1月份发布,规定了基于ISO/IEC27002的指南,其中考虑了保护PII的要求,这些要求可适用于公有云服务提供商的信息安全风险环境。
ISO/IEC27018:2019根据ISO/IEC29100中针对公有云环境的隐私原则,建立了普遍接受的控制目标、控制措施和指南,以实施保护个人身份信息(PII)的措施。
ISO/IEC27018:2019适用于所有类型和规模的组织,包括公共和私营公司、政府实体和非营利性组织,他们通过与其他组织签订合同的云计算提供作为PII处理器的信息处理服务。
ISO/IEC27018:2019中的指南也可能与充当PII控制的组织相关。但是PII控制器可能会收到额外的PII保护法规、法律的约束,而不适用于PII处理器。
5. ISO/IEC27018与ISO/IEC27001、ISO/IEC27002关系如何?
ISO/IEC27018基于ISO/IEC27002的基础上附件与云相关的15项控制要求,额外增加11个基于云的个人信息要求。因为ISO/IEC27001是基础规范,所以在进行ISO/IEC27018认证之前必须先经过ISO/IEC27001认证。
6. ISO/IEC27017与ISO/IEC27018有什么关系和区别?
相同之处:两者均是基于ISO/IEC27002标准的基础,是特殊领域的特殊要求;
不同之处:ISO/IEC27017针对云服务的信息安全控制提供了实施指导;ISO/IEC27018是首个专注于公有云个人数据保护的国际行为准则,更着重于个人隐私数据保护,基于ISO 27002的基础上,延伸定义新增个人资料的隐私保护
ISO27018是保护公有云服务中个人身份信息(PII)的国际标准,也是目前国际公认最权威的云上个人隐私保护认证,是ISO/IEC27001和ISO/IEC27002标准的拓展,为云服务供应商如何处理个人可识别信息(PII)的企业提供了指南。
2. 什么是PII?
PII被定义为:
--可被用于识别与此类信息相关的PII当事人;
--可直接或间接与PII当事人关联的任何信息。
3. ISO/IEC27018包含哪些原则性内容?
根据ISO定义,这些指南旨在:
——帮助公有云服务供应商在作为PII处理者开展业务时承担必要的责任‘;
——使公有云PII处理者在相关事务中保持透明,从而让客户可以选择经过良好治理的,基于云的PII处理服务;
——协助客户和公有云PII处理者达成合同协议。
——为云服务客户提供行使审核和合规全力及责任的机制。单独的一个人云服务客户审核托管在多方虚拟化服务器(云)环境中的数据可能在技术上不切实际,同时可能增大物理及逻辑的网络安全风险。
4. ISO/IEC27018适用范围有哪些?
ISO/IEC27018:2019于2019年1月份发布,规定了基于ISO/IEC27002的指南,其中考虑了保护PII的要求,这些要求可适用于公有云服务提供商的信息安全风险环境。
ISO/IEC27018:2019根据ISO/IEC29100中针对公有云环境的隐私原则,建立了普遍接受的控制目标、控制措施和指南,以实施保护个人身份信息(PII)的措施。
ISO/IEC27018:2019适用于所有类型和规模的组织,包括公共和私营公司、政府实体和非营利性组织,他们通过与其他组织签订合同的云计算提供作为PII处理器的信息处理服务。
ISO/IEC27018:2019中的指南也可能与充当PII控制的组织相关。但是PII控制器可能会收到额外的PII保护法规、法律的约束,而不适用于PII处理器。
5. ISO/IEC27018与ISO/IEC27001、ISO/IEC27002关系如何?
ISO/IEC27018基于ISO/IEC27002的基础上附件与云相关的15项控制要求,额外增加11个基于云的个人信息要求。因为ISO/IEC27001是基础规范,所以在进行ISO/IEC27018认证之前必须先经过ISO/IEC27001认证。
6. ISO/IEC27017与ISO/IEC27018有什么关系和区别?
相同之处:两者均是基于ISO/IEC27002标准的基础,是特殊领域的特殊要求;
不同之处:ISO/IEC27017针对云服务的信息安全控制提供了实施指导;ISO/IEC27018是首个专注于公有云个人数据保护的国际行为准则,更着重于个人隐私数据保护,基于ISO 27002的基础上,延伸定义新增个人资料的隐私保护