云隱私保護認證

一、業(yè)務(wù)背景

對于組織和消費者而言，云具有大量?jì)?yōu)勢：比如節省成本、靈活性以及移動(dòng)訪(fǎng)問(wèn)信息均深受青睞。但云同樣也引發(fā)人們對數據保護和隱私方面的擔憂(yōu)，尤其是涉及個(gè)人可識別信息。個(gè)人可識別信息（PII）包括任何可用以確定特定用戶(hù)身份的信息。比較直接的例子包括姓名、年齡、性別、聯(lián)系方式等。但也有一些個(gè)人身份信息不常容易讓人聯(lián)想到，例如病歷卡、IP地址和銀行對賬單 。

個(gè)人身份信息（PII）數據泄露的潛在風(fēng)險已成為國際首要議程。大量重大信息安全事件已將人們的注意力引向如何保護個(gè)人信息。與此同時(shí)，企業(yè)對安全的投入比以往更多。對于云提供商，確保消費者信息的安全性是第一要務(wù)。已發(fā)布的ISO/IEC 27018：2019（Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors）標準要求那些已通過(guò)標準認證的云服務(wù)提供商，告知其現有客戶(hù)和潛在客戶(hù)其數據受到保護，不會(huì )被用于未經(jīng)他們明確同意的任何目的。鑒于最近發(fā)生的破壞用戶(hù)數據的違規行為，通過(guò)此項標準獲得認證可以為組織提供全球公認的安全控制。它還向云提供商的客戶(hù)展示了他們在保護消費者數據方面的重要性。這為能夠宣稱(chēng)自己有能力確?？蛻?hù)信息安全的公司提供了獨特的營(yíng)銷(xiāo)優(yōu)勢。

二、業(yè)務(wù)介紹

ISO/IEC27018又稱(chēng)“云隱私保護認證”，是主要針對保護云中個(gè)人數據安全的行為準則。它基于ISO/IEC 27002標準，提供了適用于公共云個(gè)人身份信息 (PII) 的 ISO/IEC 27002控制措施實(shí)施指南。此外，它還提供了一組額外的控制措施和相關(guān)指導，旨在解決現有的 ISO/IEC 27002 控制措施集未解決的公共云 PII 保護要求。

ISO/IEC 27018標準與ISO/IEC 27001系列標準配合使用。ISO/IEC 27018要求公有云服務(wù)必須保證清晰的透明度，用戶(hù)享有對其儲存數據完整的控制權，服務(wù)商必須將對數據的操作告知用戶(hù)并得到認同。 這一標準包含若干指南，這些指南旨在：

   1）幫助公有云服務(wù)供應商在作為 PII處理者開(kāi)展業(yè)務(wù)時(shí)承擔必要的責任，無(wú)論此類(lèi)責任是否直接或通過(guò)合同明確。

   2）使公有云PII處理者在相關(guān)事務(wù)中保持透明，從而讓客戶(hù)可以選擇經(jīng)過(guò)良好治理的，基于云的PII 處理服務(wù)。

   3）協(xié)助客戶(hù)和公有云PII處理者達成合同協(xié)議。

   4）為云服務(wù)客戶(hù)提供行使審核和合規權利及責任的機制。單獨的—個(gè)人云服務(wù)客戶(hù)審核托管在多方虛擬化服務(wù)(云）環(huán)境中的數據可能在技術(shù)上不切實(shí)際，同時(shí)可能增大物理及邏輯的網(wǎng)絡(luò )安全風(fēng)險。

 ISO/IEC 27018能夠確保云服務(wù)供應商在處理PII方面有著(zhù)適當的程序。它還可以幫助制定更強的云服務(wù)協(xié)議。ISO/IEC 27018旨在為云服務(wù)客戶(hù)提供真正的透明度，以便客戶(hù)能夠清楚了解云服務(wù)供應商在保護和保護個(gè)人數據方面所做的事情。

三、實(shí)施該業(yè)務(wù)的價(jià)值 

ISO/IEC 27018標準建立在ISO/IEC 27001信息安全管理體系框架和ISO/IEC 27002作為最佳實(shí)踐控制設置的堅實(shí)基礎之上。通過(guò)ISO/IEC 27018標準認證，即證明其遵守國際公認的最佳實(shí)踐，在云和更廣泛的運營(yíng)層面構建組織的生存力。通過(guò)ISO/IEC 27018標準認證的益處包括不限于：增強信任，為客戶(hù)和利益相關(guān)者提供更大的保證，即個(gè)人數據和信息受到保護；通過(guò)最大限度地保護個(gè)人信息，在競爭對手中脫穎而出展示競爭優(yōu)勢減少由于數據泄露而引起的不利宣傳的風(fēng)險保護品牌聲譽(yù)；確保識別風(fēng)險，并采取控制措施來(lái)管理或降低風(fēng)險；確保遵守當地法規，降低對數據泄露的罰款風(fēng)險；提供覆蓋不同國家或地區的通用指導方針，為在全球范圍內開(kāi)展業(yè)務(wù)和獲得作為首選供應商的機會(huì )提供便利性，企業(yè)獲得發(fā)展。

四、業(yè)務(wù)流程

ISO27018是基于ISO27001的增強版本，旨在為公有云中的PII處理者提供增強的控制能力，從而有助于PII 保護。申請認證的組織組織應已建立符合ISO/IEC 27001：2013標準要求的管理體系，在申請認證之前應完成內部審核和管理評審，并保證體系有效、充分運行三個(gè)月以上，并且按照ISO27018的指南建立了相關(guān)控制措施。  

組織應向賽西認證提供管理體系運行的充分信息，對于多現場(chǎng)應說(shuō)明各現場(chǎng)的認證范圍、地址及人員分布等情況，賽西認證將以抽樣的方式對多現場(chǎng)進(jìn)行審核；

認證分兩個(gè)階段進(jìn)行：第一階段審核，主要進(jìn)行文件審核并確認第二階段審核準備的充分性；第二階段審核，主要對體系的符合性和有效性進(jìn)行評價(jià)，作出現場(chǎng)審核的推薦結論；

證書(shū)有效期3年，獲得認證后每年進(jìn)行一次監督。