如今,云计算行业厂商习惯于看到服务提供商对符合*标准化组织(ISO)27001信息安全管理体系标准的要求,但是却很少讨论ISO27018标准,而这是一个关于个人隐私的标准。ISO27018是一个主要针对保护云计算中个人数据安全的*标准。
该标准在2014年春季发布,但在三年之后,ISO27018还没有真正渗透到公众意识中。英**准协会(BSI)ISO27018技术表示,目前企业不可能以ISO27001同样的方式支持ISO27018。
话虽如此,他承认人们害怕自己的个人在云端中遭遇泄露或被人利用,而这些焦虑大多是不合理的,但这也是非常真实的。
“人们担心在云中的数据将会发生什么。他们会做一些事情,比如在家中运行一个小型的服务器,他们觉得这比运行在Amazon
Web
Services[AWS]*为安全。而AWS服务器其实*安全,因为数据中心会受到很好的保护。但是很多人不这么认为。”Whitcher说。
ISO 27018标准采用及其重要性
ISO27018的目的是为了给那些希望保护他们的数据的服务提供者提供信任,明他们遵循*公认的准则。
Whitcher说:“英**准协会(BSI)正在寻求帮助这些组织。我们将为他们提供ISO27001认证,但如果他们希望获得27018,也可以为他们提供。”
他补充说,还有一点是人们对标准以及它们的内容的误解。他说:“ISO 27001是关于信息的保护,而不是ISO27018所保护的个人。”
为此,ISO27018确定了“个人身份信息”(PII)的含义,以及应该如何处理。
根据条款,PII是(a)可用于识别与此类信息相关的PII主体的任何信息,或(b)可能与PII主体直接或间接相关。
辅助定义是PII主体,有时称为数据主体,PII控制者是决定数据处理目的的人员。
然而,使用ISO 27018标准不会干扰客户的责任。较终,如果是组织正在照查看个人资料,该标准并不能免除其责任。
标准中条款表明,“合同协议应明确分配公共云PII处理器(在这种情况下是云服务提供商,也就是其分包商和云服务客户)之间的责任。”
虽然组织仍然需要处理客户数据,但ISO27018确实提供了遵循的路径。
ISO 27018:是谁采用它?
然而,另一个标准ISO 27017,在即将到来的时候尚未批准,但预计将会*加广泛。
这将是一个实践守则,提供*出ISO27002特色的额外建议。较重要的是,它将通过向云服务提供商及其客户提供和对其职责的总结来帮助云服务提供商及其客户。它将*ISO27018,尽管组织必须等待几个月才可用。