ISO/IEC 27018:2019 主要針對保護(hù)云中個人數(shù)據(jù)安全的行為準(zhǔn)則。它基于ISO/IEC信息安全標(biāo)準(zhǔn) 27002,提供了適用于公共云個人身份信息 (PII) 的 ISO/IEC 27002 控制措施實(shí)施指導(dǎo)���。此外���,它還提供了一組額外的控制措施和相關(guān)指導(dǎo)���,旨在解決現(xiàn)有的ISO/IEC 27002控制措施及未解決的公共云 PII 保護(hù)要求。
 ISO27018
ISO/IEC 27018是什么?
ISO/IEC 27018又稱“云隱保護(hù)認(rèn)證”���,是由英國標(biāo)準(zhǔn)協(xié)會(BSI)制定�,主要針對云服務(wù)商對云中個人數(shù)據(jù)的安全防護(hù)的國際標(biāo)準(zhǔn)認(rèn)證�,旨在為云個人身份信息處理者提供一套實(shí)務(wù)守則,以保護(hù)公共云中的個人身份信息(PII)不受侵犯�,是目前國際上最權(quán)威、最嚴(yán)格����、也是最被廣泛接受和應(yīng)用的信息安全體系認(rèn)證。
ISO/IEC 27018適用性
ISO27018認(rèn)證適用于任何部門的大型或小型組織�。
該標(biāo)準(zhǔn)特別適用于在云端環(huán)境中存儲個人資料(例如工資單,HR或客戶付款明細(xì))的保護(hù)�,F(xiàn)在,GDPR現(xiàn)已生效����,對于組織而言���,證明合規(guī)性并顯示其如何保護(hù)數(shù)據(jù)(尤其是未存儲在一個位置的數(shù)據(jù))至關(guān)重要�。
如果您的組織已經(jīng)在實(shí)施ISO 27001 ISMS,則符合IS027001的70%規(guī)定�。但是,如果使用的是基于云的技術(shù),則IS0 27018被視為有效的附加標(biāo)準(zhǔn)����,因?yàn)楣鞠M麑iT通過存儲在云中的數(shù)據(jù)證明GDPR的合規(guī)性。
ISO27001/27002與27018的差異
IS0 27001因?yàn)槭亲罨A(chǔ)的規(guī)范����,所以在進(jìn)行IS0 27018之前,必須先經(jīng)過基本的lS0 27001認(rèn)證���。
基于IS0 27001認(rèn)證基礎(chǔ)下���,可以思考額外包含:
1、IS0 27018:如果公司預(yù)計(jì)提供云端服務(wù)���,相關(guān)云端維運(yùn)的安全控制措施����;
2����、從市場營銷的觀點(diǎn)來看,ISO 27001是可以獲得一個認(rèn)證�,因此容易得到客戶的認(rèn)可�;
3����、從信息安全來看,1S0 27018更偏重于信息安全管制措施����。
ISO/IEC 27018認(rèn)證的好處
1、激發(fā)對企業(yè)的信任一為客戶和利益相關(guān)者提供更大的保證���,即個人根據(jù)和信息受到保護(hù)���;
2、競爭優(yōu)勢一通過最大限度地保護(hù)個人信息���,在競爭對手中脫穎而出���;
3、品牌保護(hù)一減少由于數(shù)據(jù)泄露而引起的不利宣傳的風(fēng)險���;
4、降低風(fēng)險一確保識別風(fēng)險����,并采取控制措施來管理或降低風(fēng)險�;
5���、防止罰款一確保遵守當(dāng)?shù)胤ㄒ?guī)���,減少數(shù)據(jù)泄露的罰款風(fēng)險;
6����、發(fā)展業(yè)務(wù)一提供不同國家/地區(qū)的通用準(zhǔn)則,使在全球開展業(yè)務(wù)變得更容易����,并可以作為首選供應(yīng)商。 |
