ISO/IEC27018標準是一個旨在保護云計算中個人數(shù)據(jù)安全的國際標準���。又稱‘公有云個人可識別信息(PII)信息安全管理體系’�,‘公共云中個人身份信息安全體系’,‘公有云個人隱私保護體系’�����,‘云中個人數(shù)據(jù)安全管理體系’����,‘云隱私保護管理體系’等。同時��,ISO/IEC 27018是基于ISO27001信息安全管理體系擴展的管理體系�,它基于ISO/IEC 27002標準,提供了適用于公共云個人身份信息 (PII) 的 ISO/IEC 27002 控制措施實施指導���。ISO/IEC 27018對ISO/IEC27001擴展的體現(xiàn)有兩個方面:
一是在原有的ISMS標準的附錄A中114個控制條款延展了15%的要求,主要對在公有云中PII 的處理者保護PII 提出了額外的控制要求��,并將控制要求更具體化�;
二是根據(jù)ISO/IEC29100的11個隱私原則增加了11個ISO/IEC27018特定的PII保護附加控制條款。
在信息網(wǎng)絡�����、大數(shù)據(jù)時代下����,針對個人隱私的保護比以往任何時候都重要。鑒于最近發(fā)生的多起破壞用戶數(shù)據(jù)的違規(guī)行為����,對于云提供商來說���,確保消費者信息的安全性成了發(fā)展第一要務�。作為目前國際公認的云個人信息保護的最佳實踐�,ISO27018已得到諸多跨國云服務提供商和使用者的認可和采納。
ISO/IEC 27018又稱“云隱私保護認證”�����,主要針對云服務商對云中個人數(shù)據(jù)的安全防護的國際標準認證�����,旨在為云個人身份信息處理者提供一套實務守則����,以保護公共云中的個人身份信息(PII)不受侵犯��,是目前國際上最權威����、最嚴格��、也是最被廣泛接受和應用的信息安全體系認證��。
作為最嚴格的安全防護認證之一,ISO/IEC 27018要求公有云服務必須保證清晰的透明度�����,用戶享有對其儲存數(shù)據(jù)完整的控制權�,服務商必須將對數(shù)據(jù)的操作告知用戶并得到認同。
ISO/IEC 27018能夠確保云服務供應商在處理PII方面有著適當?shù)某绦?。它還可以幫助制定更強的云服務協(xié)議�。該標準就PII的問題�����,規(guī)定了CSPS如何培訓員工�,需要什么文件程序�����,并提供了相應的指導方針��。ISO /IEC 27018旨在為云服務客戶提供真正的透明度,以便客戶能夠清楚了解云服務供應商商在保護和保護個人數(shù)據(jù)方面所做的事情��。
