ISO27018 公有云个人可识别信息管理体系

ISO 27018是针对云服务提供商的**个针对隐私的国际标准，该标准佳是针对云计算服务量身定制的。

它包含有关减少公共云产品中适用于PII的信息安全风险的特定指南 。 它的构造是对ISO/IEC 27001∶2013附录A中的控件集的补充，并包括云服务提供商特有的扩展控件，这些控件与ISO 29100中的11条隐私原则相关。

关键准则

ISO27018概述了认证的云服务提供商可以 在其控制框架中包括的几个关键准则，以证明它们符合标准。

这些准则包括∶

• 除非客户同意，否则PII不能用于商业营销或广告目的。 客户可以控制自己的数据，并且云提供商只能按照客户的指示来处理PII。

• 通过公共网络传输，存储在移动设备上或恢复或还原数据时，云服务提供商需要以特定方式处理PII。 云服务提供商（和相关人员）还必须签署保密协议，并为将直接处理PII的员工提供专门培训。

• 如果发生数据泄露，提供者应立即通知客户，保持事件的清晰记录，并协助其畜户继续遭守其自身的安全义务。

• 在签署合同之前，云服务提供商必须披露任何子处理器的名称（以及有关PII可能在何处处理的任何位署信息）。 如果提供商在台同中途更改了子处理器，则它还必须披露此信息，并向客户提供终止合同的权利。

尽管该全球标准特别适用于云中的PII 带来了好处，但绝大多数云提供商仍未赶上潮流。 但是与行业紧密相关的人士认为，大市场期望符合ISO 27018标准只是时间问题。

将ISO 27018纳入您的合规性框架的好处：

1、增强客户信心

首先，客户可以放心地信任可以证明第三方针对特定市场的**实践进行验证的云服务提供商。如果云服务提供商符合 ISO 27018，则意味着它对如何安全地处理PII具有深刻的理解，并致力于保护其客户数据。这有助于将其品牌与竞争对手区分开来。

2、简化的全球运营

因为ISO 27018准则是通用的，并且适用于美国以外的其他国家，所以一致性使云服务提供商更容易参与全球市场，客户也更容易签署国际合同。

3、更快的合同流程

客户要求云服务提供商回签看关其处理PII的标准佳实转的几，个问题并不/少I。遭循 【SO27018许客这此问题都可以通过 您的可交付成果解决。

4、还有网络保险的问题。网络保险对于支付数据泄露或基他隐私侵犯的费用是必要的。它很昂贵，缺乏标准，并且会快速破坏合同流程。但是网络保险公司更喜欢看到安全证书，例如ISO 27018，它们的条款和条件反映了这一点。