ISO27018-信息技术 - 安全系统技术 - 作为PII处理者地公有云中保护个人可识别信息(PII)地操作要求规范.docVIP

信息技术 - 安全技术 - 作为PII处理者的公有云中保护个人可识别信息（PII）的操作规 0简介 0.1背景和背景 根据合同处理其客户的个人身份信息（PII）的云服务提供商必须以允许双方满足保护PII的适用法律和法规要求的方式运营其服务。云服务提供商与其客户之间划分要求的方式和方式因法律管辖权以及云服务提供商与客户之间的合同条款而异。管理PII如何被处理（即收集，使用，转让和处置）的立法有时被称为数据保护立法; PII有时被称为个人数据或个人信息。 PII处理者的义务因管辖区而异，这使得提供云计算服务的企业在跨国运营方面面临挑战。 公有云服务提供商在根据云服务租户的指示处理PII时是“PII处理者”。与公有云PII处理者具有合同关系的云服务租户可以是自然人，“PII主体”，在云中处理他或她自己的PII，到组织，“PII控制者”，处理与许多PII原则有关的PI??I。云服务租户可以授权与其关联的一个或多个云服务用户根据其与公有云PII处理者的合同使用可用的服务。请注意，云服务租户拥有处理和使用数据的权限。同时也是PII控制者的云服务租户可能受到比公有云PII处理者更广泛的管理PII保护的义务。保持PII控制者和PII处理者之间的区别依赖于公有云PII处理者，该处理者不具有除云服务租户针对其处理的PII设置的数据处理目标以及实现云服务租户目标所必需的操作之外的数据处理目标。 注意如果公有云PII处理者正在处理云服务租户数据，则可能是为此目的充当PII控制者。本国际标准不包括此类活动。 当与ISO / IEC 27002中的信息安全目标和控制结合使用时，本国际标准的目的是创建一组通用的安全类别和控制，可由作为PII的公有云计算服务提供商实施。处理者。它有以下目标。 - 为了帮助公有云服务提供商在充当PII处理者时遵守适用的义务，这些义务是直接还是通过合同落在PII处理者上。 - 使公有云PII处理者在相关事务上保持透明，以便云服务租户可以选择管理良好的基于??云的PII处理服务。 - 协助云服务租户和公有云PII处理者签订合同协议。 - 为云服务租户提供执行审计和合规权利和责任的机制，以便在多方，虚拟化服务器（云）环境中托管的数据的单个云服务租户审计在技术上可能不切实际并且可能增加那些风险物理和逻辑网络安全控制到位。 本国际标准并未取代适用的法律法规，但可以为公有云服务提供商提供通用的合规框架，特别是那些在跨国市场运营的公有云服务提供商。 0.2 PII保护控制公有云计算服务 本国际标准旨在供组织在实施基于ISO / IEC 27001的云计算信息安全管理系统的过程中选择PII保护控制，或作为实施组织普遍接受的PII保护控制的指导文件。充当公有云PII处理者。特别是，该国际标准基于ISO / IEC 27002，考虑了那些可能适用于作为PII处理者的公有云计算服务提供商的PII保护要求所产生的特定风险环境。 通常，实施ISO / IEC 27001的组织正在保护自己的信息资产。但是，在作为PII处理者的公有云服务提供商的PII保护要求的背景下，组织正在保护其客户委托给它的信息资产。公有云PII处理者实现ISO / IEC 27002的控制既适用于此目的也是必要的。本国际标准增强了ISO / IEC 27002控制，以适应风险的分布式性质以及云服务租户与公有云PII处理者之间存在的合同关系。本国际标准以两种方式增强了ISO / IEC 27002： - 为某些现有的ISO / IEC 27002控制提供适用于公有云PII保护的实施指南，以及 - 附件A提供了一组附加控制和相关指南，旨在解决现有ISO / IEC 27002控制集未解决的公有云PII保护要求。 本国际标准中的大多数控制和指导也适用于PII控制者。但是，在大多数情况下，PII控制者将承担此处未指定的其他义务。 0.3 PII保护要求 组织必须确定其保护PII的要求。有三个主要的要求来源，如下所示。 a）法律，法定，监管和合同要求：一个来源是组织，其贸易伙伴，承包商和服务提供商必须满足的法律，法定，监管和合同要求和义务，以及他们的社会文化责任和运营环境。应该指出的是，PII处理者制定的立法，法规和合同承诺可能要求选择特定的控制措施，也可能需要实施这些控制措施的具体标准。这些要求因司法管辖区而异。 b）风险：另一个来源是评估与PII相关的组织的风险，同时考虑到组织的整体业务战略和目标。通过风险评估，确定威胁，评估发生的脆弱性和可能性，并估计潜在影响。 ISO / IEC 27005提供信息安全风险管理指导，包括风险评估，风险接受，风险沟通，风险监控和风险评估方面的建议。 ISO / IEC 29134提供有关隐私影响评估的指导。 c）公司政策：虽然公司政策涵盖的