隨著云服務的發(fā)展，用戶的信息安全越來越重要，為此，英國標準協(xié)會制定了ISO27018體系標準，以此來確保網(wǎng)絡消費者的信息安全。那么，ISO27018體系認證是什么呢?接下來，為您整理介紹：

　　ISO/IEC 27018:2019 主要針對保護云中個人數(shù)據(jù)安全的行為準則。它基于ISO/IEC信息安全標準 27002，提供了適用于公共云個人身份信息 (PII) 的 ISO/IEC 27002 控制措施實施指導。此外，它還提供了一組額外的控制措施和相關(guān)指導，旨在解決現(xiàn)有的ISO/IEC 27002控制措施及未解決的公共云 PII 保護要求。

　　ISO/IEC27018是對ISO/IEC27001和ISO/IEC27002標準的擴展，可用于支持其基礎(chǔ)設(shè)施通過標準認證的云服務提供商告知其現(xiàn)有和潛在客戶，其數(shù)據(jù)得到了安全的保護，不會被用于任何其未明確同意的用途。通過實施本標準，可以讓客戶和利益相關(guān)者對其個人數(shù)據(jù)和信息的安全件更加放心。本標準還提供了覆蓋不同國家的通用指導方針，為在全球范圍內(nèi)開展業(yè)務和獲得作為首選供應商的機會提供便利性。

　　ISO27018概述了認證的云服務提供商可以在其控制框架中包括的幾個關(guān)鍵準則，以證明它們符合標準。

　　這些準則包括:

　　除非客戶同意，否則PII不能用于商業(yè)營銷或廣告目的?？蛻艨梢钥刂谱约旱臄?shù)據(jù)， 并且云提供商只能按照客戶的指示來處理PII。

　　通過公共網(wǎng)絡傳輸，存儲在移動設(shè)備上或恢復或還原數(shù)據(jù)時，云服務提供商需要以特定方式處理PII。云服務提供商(和相關(guān)人員)還必須簽署保密協(xié)議，并為將直接處理PII的員工提供專門培訓。

　　如果發(fā)生數(shù)據(jù)泄露，提供者應立即通知客戶，保持事件的清晰記錄，并協(xié)助其客戶繼續(xù)遵守其自身的安全義務。

　　在簽署合同之前，云服務提供商必須披露任何子處理器的名稱(以及有關(guān)PII可能在何處處理的任何位置信息)。如果提供商在合同中途更改了子處理器，則它還必須披露此信息，并向客戶提供終止合同的權(quán)利。

　　盡管該全球標準特別適用于云中的PII帶來了好處，但絕大多數(shù)云提供商仍未趕上潮流。但是與行業(yè)緊密相關(guān)的人士認為，大市場期望符合ISO 2701 8標準只是時間問題。

　　ISO27018適用于哪些企業(yè)?

　　ISO27018認證適用于任何部門的大型或小型組織。該標準特別適用于在云端環(huán)境中存儲個人資料(例如工資單，HR或客戶付款明細)的保護。現(xiàn)在，GDPR現(xiàn)已生效，對于組織而言，證明合規(guī)性并顯示其如何保護數(shù)據(jù)(尤其是未存儲在一個位置的數(shù)據(jù))至關(guān)重要。如果您的組織已經(jīng)在實施ISO?27001?ISMS,則符合IS027001的70%規(guī)定。但是，如果使用的是基于云的技術(shù)，則IS0?27018被視為有效的附加標準，因為公司希望專門通過存儲在云中的數(shù)據(jù)證明GDPR的合規(guī)性。

　　ISO27018體系認證的好處

　　1、激發(fā)對企業(yè)的信任一為客戶和利益相關(guān)者提供更大的保證，即個人根據(jù)和信息受到保護;

　　2、競爭優(yōu)勢一通過最大限度地保護個人信息，在競爭對手中脫穎而出;

　　3、品牌保護一減少由于數(shù)據(jù)泄露而引起的不利宣傳的風險;

　　4、降低風險一確保識別風險，并采取控制措施來管理或降低風險;

　　5、防止罰款一確保遵守當?shù)胤ㄒ?guī)，減少數(shù)據(jù)泄露的罰款風險;

　　6、發(fā)展業(yè)務一提供不同國家/地區(qū)的通用準則，使在全球開展業(yè)務變得更容易，并可以作為首選供應商。