ISO27018包含什么?申报条件有哪些？

ISO/IEC 27018:2019 主要针对保护云中个人数据安全的行为准则。它基于ISO/IEC信息安全标准ISO/IEC 27002，提供了适用于公共云个人身份信息 (PII) 的 ISO/IEC 27002 控制措施实施指导。此外，它还提供了一组额外的控制措施和相关指导。

Pll被定义为:

(a)可被用于识别与此类信息相关的Pll当事人;

(b)可直接或间接与PII当事人关联的任何信息。

ISO/IEC 27018包含什么?

这一标准包含若干指南,根据ISO定义,这些指南旨在:

1、帮助公有云服务供应商在作为PII处理者开展业务时承担必要的责任

2、使公有云PII处理者在相关事务中保持透明,从而让客户可以选择经过良好治理的基于云的PII处理服务

3、协助客户和公有云PII处理者达成合同协议

4、为云服务客户提供行使审核和合规权利及责任的机制。单独的一个人云服务客户审核托管在多方虚拟化服务器(云)环境中的数据可能在技术上不切实际,同时可能增大物理及逻辑的网络安全风险

尽管这些只是一些尚待完善的原则,但如果审视这些原则的含义以及它们能够如何为客户提供帮助,我们就可看到,第一次有了针对个人数据处理的真正框架。

ISO/IEC　27018将/IEC27002中描述的一系列安全控制作为基础,然后以两种方式扩展。首先,在许多领域中扩展了现有的安全控制,以处理云服务客户和云服务供应商之间的责任。其次,添加了一组新的安全控制,以反映ISO/IEC29100隐私框架标准中定义的隐私原则。

扩展的安全控制包括如下:

1、在存储和任何可移动的物理介质中,对PlI进行加密的要求；

2、一旦数据不再需要,在指定的时间内删除PII；

3、符合云服务协议中明文规定的目的时,才进行PII处理；

4、如法规所明文规定,在处理P原则的权利问题上,可检查和纠正PII。

ISO/IEC 27018:2019 主要针对保护云中个人数据安全的行为准则。它基于ISO/IEC信息安全标准ISO/IEC 27002，提供了适用于公共云个人身份信息 (PII) 的 ISO/IEC 27002 控制措施实施指导。此外，它还提供了一组额外的控制措施和相关指导。

ISO/IEC 27018对ISO/IEC27001扩展的体现有两个方面：

①：在原有的ISMS标准的附录A中114个控制条款延展了15%的要求，主要对在公有云中PII 的处理者保护PII 提出了额外的控制要求，并将控制要求更具体化；

②：是根据ISO/IEC29100的11个隐私原则增加了11个ISO/IEC27018特定的PII保护附加控制条款。

ISO27018申报条件

1、ISO27018认证是在ISO27001信息安全管理体系的基础上建立、实施和扩展的，ISO27001是ISO27018认证的基础和前提条件。申请ISO27018认证的组织应已经建立信息安全管理体系，且通过了ISO27001认证或准备同时申请ISO27001认证。

2、申请的ISO27018认证范围不能大于组织的ISO27001覆盖范围，超出的认证范围必须先安排对其ISO27001实施专项扩大审核后，再安排ISO27018的审核。