iso27018-信息技术-安全技术-作为pii处理者的公有云中保护个人可识别信息(pii)的操作规范.pdfVIP

信息技术 - 安全技术 - 作为 PII 处理者的公有云中保护个人可识 别信息（PII）的操作规范 0 简介 0.1 背景和背景 根据合同处理其客户的个人身份信息（PII）的云服务提供商必须以允许双方满足保护 PII 的适用法律和法规要求的方式运营其服务。云服务提供商与其客户之间划分要求的方式和方 式因法律管辖权以及云服务提供商与客户之间的合同条款而异。管理 PII 如何被处理（即收 集，使用，转让和处置）的立法有时被称为数据保护立法; PII 有时被称为个人数据或个人信 息。 PII 处理者的义务因管辖区而异，这使得提供云计算服务的企业在跨国运营方面面临挑 战。 公有云服务提供商在根据云服务租户的指示处理 PII 时是“PII 处理者”。与公有云 PII 处 理者具有合同关系的云服务租户可以是自然人，“PII 主体”，在云中处理他或她自己的 PII， 到组织，“PII 控制者”，处理与许多 PII 原则有关的 PII。云服务租户可以授权与其关联的一个 或多个云服务用户根据其与公有云 PII 处理者的合同使用可用的服务。请注意，云服务租户 拥有处理和使用数据的权限。同时也是 PII 控制者的云服务租户可能受到比公有云 PII 处理 者更广泛的管理 PII 保护的义务。保持 PII 控制者和 PII 处理者之间的区别依赖于公有云 PII 处理者，该处理者不具有除云服务租户针对其处理的 PII 设置的数据处理目标以及实现云服 务租户目标所必需的操作之外的数据处理目标。 注意如果公有云 PII 处理者正在处理云服务租户帐户数据，则可能是为此目的充当 PII 控制者。本国际标准不包括此类活动。 当与 ISO / IEC 27002 中的信息安全目标和控制结合使用时，本国际标准的目的是创建一 组通用的安全类别和控制，可由作为 PII 的公有云计算服务提供商实施。处理者。它有以下 目标。 - 为了帮助公有云服务提供商在充当 PII 处理者时遵守适用的义务，这些义务是直接还 是通过合同落在 PII 处理者上。 - 使公有云 PII 处理者在相关事务上保持透明，以便云服务租户可以选择管理良好的基 于云的 PII 处理服务。 - 协助云服务租户和公有云 PII 处理者签订合同协议。 - 为云服务租户提供执行审计和合规权利和责任的机制，以便在多方，虚拟化服务器 （云）环境中托管的数据的单个云服务租户审计在技术上可能不切实际并且可能增加那些风 险物理和逻辑网络安全控制到位。 本国际标准并未取代适用的法律法规，但可以为公有云服务提供商提供通用的合规框架， 特别是那些在跨国市场运营的公有云服务提供商。 0.2 PII 保护控制公有云计算服务 本国际标准旨在供组织在实施基于 ISO / IEC 27001 的云计算信息安全管理系统的过程 中选择 PII 保护控制，或作为实施组织普遍接受的 PII 保护控制的指导文件。充当公有云 PII 处理者。特别是，该国际标准基于 ISO / IEC 27002，考虑了那些可能适用于作为 PII 处理者 的公有云计算服务提供商的 PII 保护要求所产生的特定风险环境。 通常，实施 ISO / IEC 27001 的组织正在保护自己的信息资产。但是，在作为 PII 处理者 的公有云服务提供商的 PII 保护要求的背景下，组织正在保护其客户委托给它的信息资产。 公有云 PII 处理者实现 ISO / IEC 27002 的控制既适用于此目的也是必要的。本国际标准增强 了 ISO / IEC 27002 控制，以适应风险的分布式性质以及云服务租户与公有云 PII 处理者之间 存在的合同关系。本国际标准以两种方式增强了 ISO / IEC 27002： - 为某些现有的 ISO / IEC 27002 控制提供适用于公有云 PII 保护的实施指南，以及 - 附件 A 提供了一组附加控制和相关指南，旨在解决现有 ISO / IEC 27002 控制集未解 决的公有云 PII 保护要求。 本国际标准中的大多数控制和指导也适用于 PII 控制者。但是，在大多数情况下，PII 控 制者将承担此处未指定的其他义务。 0.3 PII 保护要求 组织必须确定其保护 PII 的要求。有三个主要的要求来源，如下所示。 a）法律，法定，监管和合同要求：一个来源是组织，其贸易伙伴，承包商和服务提供 商必须满足的法律，法定