【英语版】国际标准 ISO/IEC 27018:2019 EN 信息技术 - 安全技术 - 公共云作为PII处理者保护个人可识别信息（PII）的行为守则 Information technology - Security techniques - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors.pdf

ISO/IEC27018:2019信息安全技术个人信息安全规范是用于指导如何在公共云服务中保护个人可识别信息（PII）的一套实践准则。它旨在为那些作为PII处理者（即处理或访问PII的云服务提供商）的云服务提供商提供指导。此标准旨在确保在处理PII时遵守适用的法律和法规，并保护个人信息免受未经授权的访问、修改、披露或丢失。

该标准涵盖了以下关键方面：

1.身份和访问管理：规定必须实施健全的身份和访问管理策略，以确保只有经过授权的人员才能访问PII。

2.数据加密：要求对PII进行加密，以确保在传输和存储过程中数据的安全。

3.威胁检测和响应：必须实施有效的威胁检测和响应措施，以防止未经授权的访问和泄露。

4.记录和报告：规定必须保留有关处理活动的记录，并在发生违规行为时及时报告。

5.合规性：要求云服务提供商遵守适用的法律和法规，以及与PII处理相关的任何其他适用标准。

6.隐私声明：云服务提供商必须向用户提供一份关于他们数据处理行为的隐私声明，以获得用户的同意和授权。

7.培训和意识：要求云服务提供商的员工必须接受关于PII处理和安全的培训，并具备足够的知识和意识来确保合规性。

ISO/IEC27018:2019信息安全技术个人信息安全规范提供了一套全面的实践准则，以确保在公共云服务中保护个人信息的机密性、完整性和可用性。它为云服务提供商提供了一种处理PII的明确框架，同时确保了遵守适用的法律和法规。