1、背景介紹

對(duì)于云服務(wù)供應(yīng)商和云服務(wù)客戶(hù)而言，云服務(wù)在降低運(yùn)營(yíng)成本、增強(qiáng)管理靈活性以及移動(dòng)訪(fǎng)問(wèn)信息方面的優(yōu)勢(shì)深受企業(yè)青睞。但同樣也引發(fā)人們對(duì)數(shù)據(jù)保護(hù)和隱私安全方面的擔(dān)憂(yōu)，尤其是涉及個(gè)人可識(shí)別信息。個(gè)人可識(shí)別信息（PII）包括任何可用以確定特定用戶(hù)身份的信息。

隨著云管理信息的規(guī)模不斷擴(kuò)展，信息處理量不斷增大，公有云漏洞的逐漸顯現(xiàn)和相應(yīng)新法規(guī)的出臺(tái)，用戶(hù)將更為關(guān)注其在采用云服務(wù)過(guò)程中，個(gè)人可識(shí)別信息的安全性。

2、標(biāo)準(zhǔn)簡(jiǎn)介

ISO/IEC 27018標(biāo)準(zhǔn)于2014年正式發(fā)布，該標(biāo)準(zhǔn)是專(zhuān)門(mén)針對(duì)保護(hù)公有云中個(gè)人可識(shí)別信息（PII）的國(guó)際通行標(biāo)準(zhǔn)，是目前國(guó)際上***權(quán)威、***嚴(yán)格、也是***被廣泛接受和應(yīng)用的信息安全體系認(rèn)證產(chǎn)品之一，與ISO/IEC 27001標(biāo)準(zhǔn)配合使用，可用于云服務(wù)供應(yīng)商向其客戶(hù)證明客戶(hù)數(shù)據(jù)，尤其是個(gè)人可識(shí)別信息得到了安全的保護(hù)，不會(huì)被用于任何客戶(hù)未明確同意的用途。

本標(biāo)準(zhǔn)在ISO/IEC 27002標(biāo)準(zhǔn)的基礎(chǔ)上為保護(hù)個(gè)人可識(shí)別信息制定了一些新的控制措施，以達(dá)到如下目的：

?  幫助公有云服務(wù)供應(yīng)商在作為 PII處理者開(kāi)展業(yè)務(wù)時(shí)承擔(dān)必要的責(zé)任，無(wú)論此類(lèi)責(zé)任是否直接或通過(guò)合同明確；

?  使公有云PII處理者在相關(guān)事務(wù)中保持透明，從而讓客戶(hù)可以選擇經(jīng)過(guò)良好治理的、基于云的PII 處理服務(wù)；

?  協(xié)助客戶(hù)和公有云PII處理者達(dá)成合同協(xié)議；

?  為云服務(wù)客戶(hù)提供監(jiān)管依據(jù)及滿(mǎn)足自身合規(guī)性責(zé)任的機(jī)制。

3、實(shí)施意義

通過(guò)ISO/IEC 27018認(rèn)證，可以使企業(yè)獲得以下競(jìng)爭(zhēng)優(yōu)勢(shì)：

?  提升客戶(hù)信任度：讓您的客戶(hù)對(duì)您實(shí)施的保護(hù)措施及其數(shù)據(jù)安全性******疑慮。

?  提升競(jìng)爭(zhēng)力：通過(guò)為個(gè)人信息提供******程度的保護(hù)，讓您從競(jìng)爭(zhēng)對(duì)手之中脫穎而出。

?  提升合規(guī)性降低風(fēng)險(xiǎn)：降低違規(guī)泄露數(shù)據(jù)的可能性，確保遵守相應(yīng)法規(guī)。

?  促進(jìn)發(fā)展：提供覆蓋不同國(guó)家的通用指導(dǎo)方針，為在全球范圍內(nèi)開(kāi)展業(yè)務(wù)和獲

得作為******供應(yīng)商的機(jī)會(huì)提供便利性。

?  自我證明：表明云服務(wù)供應(yīng)商具有適當(dāng)?shù)目刂企w系來(lái)專(zhuān)門(mén)處理其內(nèi)容中的隱私保護(hù)。

4、適用范圍及申請(qǐng)條件

本標(biāo)準(zhǔn)適用于為企業(yè)提供云服務(wù)（SaaS、IaaS、SaaS）的云服務(wù)供應(yīng)商。

具有中經(jīng)科環(huán)頒發(fā)的ISO/IEC 27001體系認(rèn)證證書(shū)。