ISO/IEC 27018 云隐私保护

对于组织和消费者而言，云具有大量优势：比如节省成本、灵活性以及移动访问信息均深受青睐。但云同样也引发人们对数据保护和隐私方面的担忧，尤其是涉及个人可识别信息。个人可识别信息（PII）包括任何可用以确定特定用户身份的信息。比较直接的例子包括您的名字、联系方式或您婚前的姓氏。但也有一些个人身份信息不常容易让人联想到， 例如病历卡、IP地址和银行对账单。

ISO27018介绍

ISO/IEC 27018又称“云隐保护认证”，是由英国标准协会（BSI）制定，主要针对云服务商对云中个人数据的安全防护的国际标准认证，旨在为云个人身份信息处理者提供一套实务守则，以保护公共云中的个人身份信息（PII）不受侵犯，是目前国际上严格、也是被广泛接受和应用的信息安全体系认证。

作为最严格的安全防护认证之一，ISO/IEC 27018要求公有云服务必须保证清晰的透明度，用户享有对其储存数据完整的控制权，服务商必须将对数据的操作告知用户并得到认同。

这一标准包含若干指南，根据ISO定义，这些指南旨在：

帮助公有云服务供应商在作为 PII处理者开展业务时承担必要的责任，无论此类责任是否直接或通过合同明确。

使公有云PII处理者在相关事务中保持透明，从而让客户可以选择经过良好治理的，基于云的PII 处理服务。

协助客户和公有云PII处理者达成合同协议。

为云服务客户提供行使审核和合规权利及责任的机制。单独的—个人云服务客户审核托管在多方虚拟化服务(云）环境中的数据可能在技术上不切实际，同时可能增大物理及逻辑的网络安全风险。

ISO/IEC 27018能够确保云服务供应商在处理PII方面有着适当的程序。它还可以帮助制定更强的云服务协议。该标准就PII的问题，规定了CSPs如何培训员工，需要什么文件程序，并提供了相应的指导方针。ISO /IEC 27018旨在为云服务客户提供真正的透明度，以便客户能够清楚了解云服务供应商商在保护和保护个人数据方面所做的事情。

在实施这一标准时，企业须考虑到下列三个方面：

是否有企业必须遵守的现有法律和法规要求，包括任何行业特定规则和法规。

遵守ISO/IEC 27018是否会为企业招致更多风险。

采用此标准是否会与企业的政策和企业文化背道而驰。 

ISO27018公有云个人信息安全管理体系认证特点：

ISO/IEC27018又称“云隐保护认证”，是由英国标准协会(BSI) 制定，主要针对云服务商对云中个人数据的安全防护的国际标准认证，旨在为云个人身份信息处理者提供一套实务守则，以保护公共云中的个人身份信息(PII) 不受侵犯，是目前国际上最权威、最严格、也是最被广泛接受和应用的信息安全体系认证。

IS027018的适用性:

IS027018认证适用于任何部门的大型或小型组织。该标准特別适用于在云端环境中存储个人资料(例如工资单，HR或客户付款明细)的保护。现在，GDPR现己生效，对于组织而言，证明合规性并显示其如何保护数据(尤其是未存储在一个位置的数据)至关重要。如果您的组织已经在实施ISO 27001 ISMS, 则符合IS027001 的70%规定。但是，如果使用的是基于云的技术，则ISO27018被视为有效的附加标准，因为公司希望专门通过存储在云中的数据证明GDPR的合规性。

IS027018认证意义：

IS0/IEC27018是对ISO/IEC27001和ISO/ IEC27002标准的扩展,为云服务供应商如何处理个人身份信息(PII)提供了指南。可用于支持其基础设施通过标准认证的云服务提供商告知其现有和潜在客户，其数据得到了安全的保护，不会被用于任何其未明确同意的用途。通过实施本标准,可以让客户和利益相关者对其个人数据和信息的安全件更加放心。本标准还提供了覆盖不同国家的通用指导方针,为在全球范围内开展业务和获得作为首选供应商的机会提供便利性。