公有云服務中個人身份信息保護認證簡介

1、背景介紹

對于云服務供應商和云服務客戶而言，云服務在降低運營成本、增強管理靈活性以及移動訪問信息方面的優勢深受企業青睞。但同樣也引發人們對數據保護和隱私安全方面的擔憂，尤其是涉及個人可識別信息。個人可識別信息（PII）包括任何可用以確定特定用戶身份的信息。

隨著云管理信息的規模不斷擴展，信息處理量不斷增大，公有云漏洞的逐漸顯現和相應新法規的出臺，用戶將更為關注其在采用云服務過程中，個人可識別信息的安全性。

2、標準簡介

ISO/IEC 27018標準于2014年正式發布，該標準是專門針對保護公有云中個人可識別信息（PII）的國際通行標準，是目前國際上最權威、最嚴格、也是最被廣泛接受和應用的信息安全體系認證產品之一，與ISO/IEC 27001標準配合使用，可用于云服務供應商向其客戶證明客戶數據，尤其是個人可識別信息得到了安全的保護，不會被用于任何客戶未明確同意的用途。

本標準在ISO/IEC 27002標準的基礎上為保護個人可識別信息制定了一些新的控制措施，以達到如下目的：

?  幫助公有云服務供應商在作為 PII處理者開展業務時承擔必要的責任，無論此類責任是否直接或通過合同明確；

?  使公有云PII處理者在相關事務中保持透明，從而讓客戶可以選擇經過良好治理的、基于云的PII 處理服務；

?  協助客戶和公有云PII處理者達成合同協議；

?  為云服務客戶提供監管依據及滿足自身合規性責任的機制。

3、實施意義

通過ISO/IEC 27018認證，可以使企業獲得以下競爭優勢：

?  提升客戶信任度：讓您的客戶對您實施的保護措施及其數據安全性消除疑慮。

?  提升競爭力：通過為個人信息提供最高程度的保護，讓您從競爭對手之中脫穎而出。

?  提升合規性降低風險：降低違規泄露數據的可能性，確保遵守相應法規。

?  促進發展：提供覆蓋不同國家的通用指導方針，為在全球范圍內開展業務和獲得作為首選供應商的機會提供便利性。

?  自我證明：表明云服務供應商具有適當的控制體系來專門處理其內容中的隱私保護。

4、適用范圍及申請條件

本標準適用于為企業提供云服務（SaaS、IaaS、SaaS）的云服務供應商。

具有中經科環頒發的ISO/IEC 27001體系認證證書。