云隱私保護認證
一、業務背景
對于組織和消費者而言,云具有大量優勢:比如節省成本、靈活性以及移動訪問信息均深受青睞。但云同樣也引發人們對數據保護和隱私方面的擔憂,尤其是涉及個人可識別信息。個人可識別信息(PII)包括任何可用以確定特定用戶身份的信息。比較直接的例子包括姓名、年齡、性別、聯系方式等。但也有一些個人身份信息不常容易讓人聯想到,例如病歷卡、IP地址和銀行對賬單 。
個人身份信息(PII)數據泄露的潛在風險已成為國際首要議程。大量重大信息安全事件已將人們的注意力引向如何保護個人信息。與此同時,企業對安全的投入比以往更多。對于云提供商,確保消費者信息的安全性是第一要務。已發布的ISO/IEC 27018:2019(Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors)標準要求那些已通過標準認證的云服務提供商,告知其現有客戶和潛在客戶其數據受到保護,不會被用于未經他們明確同意的任何目的。鑒于最近發生的破壞用戶數據的違規行為,通過此項標準獲得認證可以為組織提供全球公認的安全控制。它還向云提供商的客戶展示了他們在保護消費者數據方面的重要性。這為能夠宣稱自己有能力確保客戶信息安全的公司提供了獨特的營銷優勢。
二、業務介紹
ISO/IEC27018又稱“云隱私保護認證”,是主要針對保護云中個人數據安全的行為準則。它基于ISO/IEC 27002標準,提供了適用于公共云個人身份信息 (PII) 的 ISO/IEC 27002控制措施實施指南。此外,它還提供了一組額外的控制措施和相關指導,旨在解決現有的 ISO/IEC 27002 控制措施集未解決的公共云 PII 保護要求。
ISO/IEC 27018標準與ISO/IEC 27001系列標準配合使用。ISO/IEC 27018要求公有云服務必須保證清晰的透明度,用戶享有對其儲存數據完整的控制權,服務商必須將對數據的操作告知用戶并得到認同。 這一標準包含若干指南,這些指南旨在:
1)幫助公有云服務供應商在作為 PII處理者開展業務時承擔必要的責任,無論此類責任是否直接或通過合同明確。
2)使公有云PII處理者在相關事務中保持透明,從而讓客戶可以選擇經過良好治理的,基于云的PII 處理服務。
3)協助客戶和公有云PII處理者達成合同協議。
4)為云服務客戶提供行使審核和合規權利及責任的機制。單獨的—個人云服務客戶審核托管在多方虛擬化服務(云)環境中的數據可能在技術上不切實際,同時可能增大物理及邏輯的網絡安全風險。
ISO/IEC 27018能夠確保云服務供應商在處理PII方面有著適當的程序。它還可以幫助制定更強的云服務協議。ISO/IEC 27018旨在為云服務客戶提供真正的透明度,以便客戶能夠清楚了解云服務供應商在保護和保護個人數據方面所做的事情。
三、實施該業務的價值
ISO/IEC 27018標準建立在ISO/IEC 27001信息安全管理體系框架和ISO/IEC 27002作為最佳實踐控制設置的堅實基礎之上。通過ISO/IEC 27018標準認證,即證明其遵守國際公認的最佳實踐,在云和更廣泛的運營層面構建組織的生存力。通過ISO/IEC 27018標準認證的益處包括不限于:增強信任,為客戶和利益相關者提供更大的保證,即個人數據和信息受到保護;通過最大限度地保護個人信息,在競爭對手中脫穎而出展示競爭優勢減少由于數據泄露而引起的不利宣傳的風險保護品牌聲譽;確保識別風險,并采取控制措施來管理或降低風險;確保遵守當地法規,降低對數據泄露的罰款風險;提供覆蓋不同國家或地區的通用指導方針,為在全球范圍內開展業務和獲得作為首選供應商的機會提供便利性,企業獲得發展。
四、業務流程
ISO27018是基于ISO27001的增強版本,旨在為公有云中的PII處理者提供增強的控制能力,從而有助于PII 保護。申請認證的組織組織應已建立符合ISO/IEC 27001:2013標準要求的管理體系,在申請認證之前應完成內部審核和管理評審,并保證體系有效、充分運行三個月以上,并且按照ISO27018的指南建立了相關控制措施。
組織應向賽西認證提供管理體系運行的充分信息,對于多現場應說明各現場的認證范圍、地址及人員分布等情況,賽西認證將以抽樣的方式對多現場進行審核;
認證分兩個階段進行:第一階段審核,主要進行文件審核并確認第二階段審核準備的充分性;第二階段審核,主要對體系的符合性和有效性進行評價,作出現場審核的推薦結論;
證書有效期3年,獲得認證后每年進行一次監督。
