ISO27018-信息关键技术-安全关键技术-作为PII处理者的公有云中保护个人可识别信息PII的操作标准规范.docVIP

信息技术 - 安全技术 - 作为PII处理者公有云中保护个人可识别信息（PII）操作规范 0介绍 0.1背景和背景 依据协议处理其用户个人身份信息（PII）云服务提供商必需以许可双方满足保护PII适使用方法律和法规要求方法运行其服务。云服务提供商和其用户之间划分要求方法和方法因法律管辖权和云服务提供商和用户之间协议条款而异。管理PII怎样被处理（即搜集，使用，转让和处理）立法有时被称为数据保护立法; PII有时被称为个人数据或个人信息。 PII处理者义务因管辖区而异，这使得提供云计算服务企业在跨国运行方面面临挑战。 公有云服务提供商在依据云服务租户指示处理PII时是“PII处理者”。和公有云PII处理者含有协议关系云服务租户能够是自然人，“PII主体”，在云中处理她或她自己PII，到组织，“PII控制者”，处理和很多PII标准相关PI??I。云服务租户能够授权和其关联一个或多个云服务用户依据其和公有云PII处理者协议使用可用服务。请注意，云服务租户拥有处理和使用数据权限。同时也是PII控制者云服务租户可能受到比公有云PII处理者更广泛管理PII保护义务。保持PII控制者和PII处理者之间区分依靠于公有云PII处理者，该处理者不含有除云服务租户针对其处理PII设置数据处理目标和实现云服务租户目标所必需操作之外数据处理目标。 注意假如公有云PII处理者正在处理云服务租户帐户数据，则可能是为此目标充当PII控制者。本国际标准不包含这类活动。 当和ISO / IEC 27002中信息安全目标和控制结合使用时，本国际标准目标是创建一组通用安全类别和控制，可由作为PII公有云计算服务提供商实施。处理者。它有以下目标。 - 为了帮助公有云服务提供商在充当PII处理者时遵守适用义务，这些义务是直接还是经过协议落在PII处理者上。 - 使公有云PII处理者在相关事务上保持透明，方便云服务租户能够选择管理良好基于??云PII处理服务。 - 帮助云服务租户和公有云PII处理者签署协议协议。 - 为云服务租户提供实施审计和合规权利和责任机制，方便在多方，虚拟化服务器（云）环境中托管数据单个云服务租户审计在技术上可能不切实际而且可能增加那些风险物理和逻辑网络安全控制到位。 本国际标准并未替换适用法律法规，但能够为公有云服务提供商提供通用合规框架，尤其是那些在跨国市场运行公有云服务提供商。 0.2 PII保护控制公有云计算服务 本国际标准意在供组织在实施基于ISO / IEC 27001云计算信息安全管理系统过程中选择PII保护控制，或作为实施组织普遍接收PII保护控制指导文件。充当公有云PII处理者。尤其是，该国际标准基于ISO / IEC 27002，考虑了那些可能适适用于作为PII处理者公有云计算服务提供商PII保护要求所产生特定风险环境。 通常，实施ISO / IEC 27001组织正在保护自己信息资产。不过，在作为PII处理者公有云服务提供商PII保护要求背景下，组织正在保护其用户委托给它信息资产。公有云PII处理者实现ISO / IEC 27002控制既适适用于此目标也是必需。本国际标准增强了ISO / IEC 27002控制，以适应风险分布式性质和云服务租户和公有云PII处理者之间存在协议关系。本国际标准以两种方法增强了ISO / IEC 27002： - 为一些现有ISO / IEC 27002控制提供适适用于公有云PII保护实施指南，和 - 附件A提供了一组附加控制和相关指南，意在处理现有ISO / IEC 27002控制集未处理公有云PII保护要求。 本国际标准中大多数控制和指导也适适用于PII控制者。不过，在大多数情况下，PII控制者将负担此处未指定其它义务。 0.3 PII保护要求 组织必需确定其保护PII要求。有三个关键要求起源，以下所表示。 a）法律，法定，监管和协议要求：一个起源是组织，其贸易伙伴，承包商和服务提供商必需满足法律，法定，监管和协议要求和义务，和她们社会文化责任和运行环境。应该指出是，PII处理者制订立法，法规和协议承诺可能要求选择特定控制方法，也可能需要实施这些控制方法具体标准。这些要求因司法管辖区而异。 b）风险：另一个起源是评定和PII相关组织风险，同时考虑到组织整体业务战略和目标。经过风险评定，确定威胁，评定发生脆弱性和可能性，并估量潜在影响。 ISO / IEC 27005提供信息安全风险管理指导，包含风险评定，风险接收，风险沟通，风险监控和风险评定方面提议。 ISO / IEC 29134提供相关隐私影响评定指导。 c）企业政策：即使企业政策涵盖很多方面来自法律和社会文化义务，但组织也能够自愿选择超出a）要求标准。 0.4在云计算环境中选择和实施控件 能够从该国际标准中选择控制（其中包含