ISO/IEC 27018 的主要内容
考虑到云计算在改进的数据安全功能,降低的运营成本,可靠性,基础架构以及对云计算的高度响应方面所提供的功能,各种形式的云计算现在已成为各种行业(包括政府实体)的理想模型。用户除了需要灵活的财务模型外,还需要其他服务。 无论数据存储在何处(即,无论是在现场,在辖区内还是在世界其他地方),数据安全和隐私仍然是赢得公众对云计算信心的最大挑战。 由于这些原因,许多国家已采取措施引入规则和立法,以帮助保护其公民的私人数据。 国际标准化组织(ISO)发布了ISO 27018,这是有史以来第一个云数据保护标准。
ISO 27018的主要内容介绍如下。
新标准ISO 27018将通过添加对云中存储的敏感客户信息的关键保护来增强数据隐私。 ISO 2708由国际标准化组织于2014年7月发布,为云服务提供商制定了有关个人身份信息(“ PII”)的指南。 该标准是在与14个国家和5个国际组织的贡献者协商后制定的。
现代化云中的安全性和隐私
在ISO 27018之前,还没有一个国际公认的健壮基准来保护云存储的PII。 完善的ISO/IEC 27001:2005标准提供了一个灵活的系统,用于识别总体信息安全风险并选择控制措施以应对这些风险。 作为ISO 27001的附录,ISO 27018为云服务提供商提供了专用性,以评估风险并实施最新的控制措施来保护存储在云中的PII。
ISO 27018的关键要素和对客户的好处
采用新标准的云服务提供商必须在更强大的行业范围内的关键原则下运作:
• 同意 :作为ISO 27018的一部分,除非客户明确指示,否则云提供商不得将收到的数据用于自己的广告和营销目的。 而且,客户必须有可能使用该服务,而不必将其个人数据用于广告或营销。
• 透明度 :云提供商必须告知客户其数据所在的位置,并明确承诺如何处理这些数据。
• 责任 :标准的断言,任何违反信息安全应该触发由服务供应商进行审查,以确定是否有任何损失,披露或PII的改变。
• 沟通 :如果发生违反,云提供商应通知客户和监管机构,并保留有关事件及其响应的清晰记录。
• 独立审核 :对云服务是否符合27018进行的成功第三方审核(从四分之一)可以证明该服务符合标准,然后客户可以依靠该审核来支持自己的监管义务。
• 控制 :客户可以明确控制其信息的使用方式。
