對于組織和消費者而言,云具有大量優(yōu)勢:比如節(jié)省成本����、靈活性以及移動訪問信息均深受青睞。但云同樣也引發(fā)人們對數據保護和隱私方面的擔憂����,尤其是涉及個人可識別信息。個人可識別信息(PII)包括任何可用以確定特定用戶身份的信息�。比較直接的例子包括您的名字、聯(lián)系方式或您婚前的姓氏���。但也有一些個人身份信息不常容易讓人聯(lián)想到���, 例如病歷卡、IP地址和銀行對賬單����。
ISO/IEC 27018又稱“云隱私保護認證”,主要針對云服務商對云中個人數據的安全防護的國際標準認證����,旨在為云個人身份信息處理者提供一套實務守則,以保護公共云中的個人身份信息(PII)不受侵犯����,是目前國際上最權威、最嚴格����、也是最被廣泛接受和應用的信息安全體系認證。
作為最嚴格的安全防護認證之一����,ISO/IEC 27018要求公有云服務必須保證清晰的透明度,用戶享有對其儲存數據完整的控制權�,服務商必須將對數據的操作告知用戶并得到認同。
這一標準包含若干指南���,根據ISO定義���,這些指南旨在:
幫助公有云服務供應商在作為 PII處理者開展業(yè)務時承擔必要的責任,無論此類責任是否直接或通過合同明確����。
使公有云PII處理者在相關事務中保持透明�,從而讓客戶可以選擇經過良好治理的���,基于云的PII 處理服務���。
協(xié)助客戶和公有云PII處理者達成合同協(xié)議。
為云服務客戶提供行使審核和合規(guī)權利及責任的機制���。單獨的—個人云服務客戶審核托管在多方虛擬化服務(云)環(huán)境中的數據可能在技術上不切實際���,同時可能增大物理及邏輯的網絡安全風險。
ISO/IEC 27018能夠確保云服務供應商在處理PII方面有著適當的程序�。它還可以幫助制定更強的云服務協(xié)議。該標準就PII的問題����,規(guī)定了CSPs如何培訓員工,需要什么文件程序����,并提供了相應的指導方針。ISO /IEC 27018旨在為云服務客戶提供真正的透明度,以便客戶能夠清楚了解云服務供應商商在保護和保護個人數據方面所做的事情����。
在實施這一標準時����,企業(yè)須考慮到下列三個方面:
是否有企業(yè)必須遵守的現(xiàn)有法律和法規(guī)要求,包括任何行業(yè)特定規(guī)則和法規(guī)���。
遵守ISO/IEC 27018是否會為企業(yè)招致更多風險�。
采用此標準是否會與企業(yè)的政策和企業(yè)文化背道而馳����。
ISO/IEC 27018標準的優(yōu)勢有哪些?
? 驅使他人對您企業(yè)的信任感——讓您的客戶和利益相關者對其個人數據和信息的安全性更加放心�。
? 提高競爭優(yōu)勢——為個人信息提供最高程度的保護,讓您從競爭對手之中脫穎而出����。
? 保護品牌聲譽——降低因數據泄露引發(fā)的負面宣傳風險。
? 降低風險——確保風險被識別���,并采取控制措施以管理或降低風險���。
? 防止罰款——確保遵守當地法規(guī)����,降低對數據泄露的罰款風險���。
? 助力企業(yè)發(fā)展——提供覆蓋不同國家/地區(qū)的通用準則�,為在全球范圍內開展業(yè)務和獲得作為首選供應商的機會提供便利性���。
浙公網安備:33010502006920號
