【英语版】国际标准 ISO/IEC 27018:2014 EN Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors 信息技术 安全技术 保护作为个人身份信息处理器的公共云中的个人身份信息 (PII) 的业务守则.pdf

ISO/IEC27018:2014标准主要涉及在公共云环境中保护个人身份信息（PII）的信息安全实践。以下是对该标准的详细解释：

**定义**：

***信息安全管理**：此标准详细说明了组织应如何实施和维持一套安全政策，流程和程序，以确保其在云环境中处理PII的安全性。

***PII**：这是一种描述个人身份和相关信息的术语，包括姓名、地址、电话号码、电子邮件地址、出生日期、身份证号码等。

***公共云**：一种云计算模型，数据和应用程序托管在由第三方管理的设施中。

***PII处理器**：在公共云中处理PII的组织或实体。

**标准内容**：

1.**安全政策和流程**：组织应制定并实施安全政策，包括保护PII的流程和程序。这些政策和程序应定期审查和更新，以确保其有效性。

2.**访问控制**：组织应实施适当的访问控制措施，以限制对PII的访问。这可能包括身份验证和授权机制。

3.**数据保护**：组织应采取适当的数据保护措施和技术，以确保PII在传输和处理过程中的安全性。

4.**备份和恢复**：组织应制定备份和恢复策略，以防止数据丢失或损坏。这些策略应考虑PII的特殊敏感性。

5.**监控和日志记录**：组织应实施监控和日志记录策略，以监视PII的处理过程，并记录关键事件和操作。

6.**应急计划**：组织应制定应急计划，以应对可能发生的意外事件或数据丢失。这些计划应包括恢复时间和恢复点的考虑因素。

7.**培训和意识**：组织应提供培训和教育，以提高员工对PII处理和安全性的认识。

**合规性**：

ISO/IEC27018:2014标准是许多国家和地区的数据保护和隐私法规的合规要求。组织在处理PII时必须遵守这些标准。

**与其他标准的比较**：

此标准与ISO/IEC27001:2013（信息安全管理体系标准）和GDPR（欧盟通用数据保护条例）有一些关联。ISO/IEC27001提供了一个框架来建立和实施信息安全管理体系，而GDPR则对个人数据的处理提出了严格的法规要求。ISO/IEC27018扩展了这些标准，以涵盖公共云环境中处理PII的特殊考虑因素。

**总结**：

ISO/IEC27018:2014标准提供了在公共云环境中处理PII的安全实践指南。组织应遵循这些标准，以确保其在处理PII时的合规性和安全性。