公有云服务中个人身份信息保护认证

1、背景介绍

对于云服务供应商和云服务客户而言，云服务在降低运营成本、增强管理灵活性以及移动访问信息方面的优势深受企业青睐。但同样也引发人们对数据保护和隐私安全方面的担忧，尤其是涉及个人可识别信息。个人可识别信息（PII）包括任何可用以确定特定用户身份的信息。

随着云管理信息的规模不断扩展，信息处理量不断增大，公有云漏洞的逐渐显现和相应新法规的出台，用户将更为关注其在采用云服务过程中，个人可识别信息的安全性。

2、标准简介

ISO/IEC 27018标准于2014年正式发布，该标准是专门针对保护公有云中个人可识别信息（PII）的国际通行标准，是目前国际上***权威、***严格、也是***被广泛接受和应用的信息安全体系认证产品之一，与ISO/IEC 27001标准配合使用，可用于云服务供应商向其客户证明客户数据，尤其是个人可识别信息得到了安全的保护，不会被用于任何客户未明确同意的用途。

本标准在ISO/IEC 27002标准的基础上为保护个人可识别信息制定了一些新的控制措施，以达到如下目的：

Ø  帮助公有云服务供应商在作为 PII处理者开展业务时承担必要的责任，无论此类责任是否直接或通过合同明确；

Ø  使公有云PII处理者在相关事务中保持透明，从而让客户可以选择经过良好治理的、基于云的PII 处理服务；

Ø  协助客户和公有云PII处理者达成合同协议；

Ø  为云服务客户提供监管依据及满足自身合规性责任的机制。

3、实施意义

通过ISO/IEC 27018认证，可以使企业获得以下竞争优势：

Ø  提升客户信任度：让您的客户对您实施的保护措施及其数据安全性******疑虑。

Ø  提升竞争力：通过为个人信息提供******程度的保护，让您从竞争对手之中脱颖而出。

Ø  提升合规性降低风险：降低违规泄露数据的可能性，确保遵守相应法规。

Ø  促进发展：提供覆盖不同国家的通用指导方针，为在全球范围内开展业务和获

得作为******供应商的机会提供便利性。

Ø  自我证明：表明云服务供应商具有适当的控制体系来专门处理其内容中的隐私保护。

4、适用范围及申请条件

本标准适用于为企业提供云服务（SaaS、IaaS、SaaS）的云服务供应商。

具有中经科环颁发的ISO/IEC 27001体系认证证书。