ISO27018认证解析:云服务数据保护的新标准
ISO27018是什么?
ISO27018标准(信息技术-云计算-隐私影响评估(PIAs)-保护个人识别信息(ISI))是专门针对云计算领域的标准,重点在于为保护个人身份信息提供了明确的指导和规定。它扩展了ISO27001标准(针对数据安全管理),并与其他相关标准完美协调,如GDPR、HIPAA、CCPA等。
为什么ISO27018很重要?
保护客户数据,成为云服务提供商的优先选择。根据沃顿商学院《云服务合同条款》一文,2018年全球云计算市场规模大约为2500亿美元,预计到2023年将达到3900亿美元。对客户而言,在选择云服务提供商时,他们关注的不仅仅是服务的功能和可靠性,同时也在寻求更高的数据安全保障承诺。
在此情况下,ISO27018标准在以下方面提供了重要的保障:
1、明确保护标准:该标准为云服务提供商提供了专用工具,使他们能够遵守比《常规保护标准》更加严格的隐私和安全规定;
2、识别个人身份信息的保护:ISO27018标准详细明确了客户数据的保护细节,包括加密、身份验证等;
3、监控可追踪性:云服务提供商在实施此标准时,需符合的监督、审计和报告需求,它们需要将其承诺可证明为真实的保护准则;
4、促进规范:这一标准允许云提供商尽早采取措施来完善其云合同和计划,从而避免民事诉讼和违规处罚。
对于个人和组织而言,ISO27018标准在处理云端数据时将提供更加重要的保障,作为网络安全的第一线大幅度增强云端数据保护的方法和技能。
该标准具体内容包括什么?
1、个人识别信息(ISI)的保护:云服务提供商必须按照ISI的本地保护、备份、数据存储、持续保护、删除等方面的要求对个人识别信息(ISI)进行保护;
2、容灾保障控制:按照这一标准从事云服务提供商,需要采用高品质备份方案,确保其客户群的数据在可能遭受灾害时仍能保持完整;
3、获得授权的云服务提供商:ISO27018阐述了云服务提供项目的详解、管理者的授权、现场检查等要求,使云方案的企业能够确保其选择的云服务提供商得到了云合同和ISO27018合同的完整保护;
4、可信领导力:根据相关方案提供商的领导力、合规性,ISO27018向企业提供了指南。使企业能够了解其所选方案的质量、性能、数量和组合等方面的规范内容和标准,测试其在实际环境中的可靠性,实施基于ISI领导力的评估。
ISO27018的认证流程:
ISO27018的认证流程与ISO27001类似,要求细节也一致。从制定策略到执行培训,再到监管等各个环节都需要进行具体计划与操作。ISO27018认证流程中需要注意以下几点:
1、需涵盖正确的文件:在开始策略时,应确保文件不仅涵盖ISO27018的方案,而且在本机器上所使用的操作系统和应用程序上涵盖所有主要内容;
2、透彻排查:企业需要透彻排查手中已存在的云提供商,对之进行评估,确保其遵守ISO27018标准;
3、确定适用性:将规范根据业务的工作过程和使用情境分析,明确相对于ISO27018的适用性;
4、自行评定性对权利:应保证对可归属于自身环境的个人识别信息进行全面的符合性和风险评估,并基于这一评估来确定信息的优先级;
5、交叉审计:ISO27018认证需要交叉审计(包括内部和外部审计),以确保认可风险和符合性。
ISO27018的每一个实际应用都应该为云服务企业的各项操作提供准确的指导和实施。它为客户和企业的隐私和安全提供了明确的规定,以确保客户的个人识别信息(ISI)、容灾计划、授权等要素得到完整考虑。存在更成熟的认证方案和标准可以更好地保护人民的隐私,这也是ISO27018标准的最终目标。