ISO 27018:云服务中的个人信息保护

作者: 泽林认证    E-mail： 18716705@qq.com    发布时间：2023-07-27

随着云服务的广泛采用,海量的数据和应用被迁移到了云端。其中可能涉及大量个人敏感信息,如健康医疗记录、身份信息、通信内容等。如何在云环境中确保这些个人信息的安全与合规成为一个极其重要的课题。而ISO于2014年发布的ISO 27018标准则是目前云领域保护个人信息安全的重要国际标准,专门定义了公共云服务提供商在个人信息处理和保护方面的最佳实践。

ISO 27018标准在遵循ISO 27002各项信息安全控制的基础上,进一步明确了针对个人隐私保护的附加控制要求。核心要求包括:建立个人信息处理方面的隐私政策,取得并维护用户同意;限制个人信息的使用,禁止未经授权的访问或其他用途使用;根据风险划分信息的敏感度级别,实施严格的访问控制模型;对存储和传输中的敏感个人信息实施加密;以及制定数据和系统完全删除或销毁的规程,避免信息遗留等。

此外,云服务提供商还需要与客户明确双方在个人信息处理中的角色和责任,不能仅以技术手段保障安全,更需要建立系统的内部管理流程。

总体来说,ISO 27018的发布对于云客户选择可信的公有云供应商提供切实保障,使更多个人敏感信息得以安全迁移到云端。组织也可以依据ISO 27018要求,评估公有云供应商个人信息保护的成熟水平。遵循该国际标准指导,必将使云服务场景下个人隐私合规达到一个新高度。