ISO27018-信息技术-安全技术-作为PII管理组织者的公有云中保护个人可识别信息(PII)的操纵示范.doc
《ISO27018-信息技术-安全技术-作为PII管理组织者的公有云中保护个人可识别信息(PII)的操纵示范.doc》由会员分享,可在线阅读,更多相关《ISO27018-信息技术-安全技术-作为PII管理组织者的公有云中保护个人可识别信息(PII)的操纵示范.doc(34页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、,信息技术 - 安全技术 - 作为PII处理者的公有云中保护个人可识别信息(PII)的操作规范0简介0.1背景和背景根据合同处理其客户的个人身份信息(PII)的云服务提供商必须以允许双方满足保护PII的适用法律和法规要求的方式运营其服务。云服务提供商与其客户之间划分要求的方式和方式因法律管辖权以及云服务提供商与客户之间的合同条款而异。管理PII如何被处理(即收集,使用,转让和处置)的立法有时被称为数据保护立法; PII有时被称为个人数据或个人信息。 PII处理者的义务因管辖区而异,这使得提供云计算服务的企业在跨国运营方面面临挑战。公有云服务提供商在根据云服务租户的指示处理PII时是“PII处理
2、者”。与公有云PII处理者具有合同关系的云服务租户可以是自然人,“PII主体”,在云中处理他或她自己的PII,到组织,“PII控制者”,处理与许多PII原则有关的PII。云服务租户可以授权与其关联的一个或多个云服务用户根据其与公有云PII处理者的合同使用可用的服务。请注意,云服务租户拥有处理和使用数据的权限。同时也是PII控制者的云服务租户可能受到比公有云PII处理者更广泛的管理PII保护的义务。保持PII控制者和PII处理者之间的区别依赖于公有云PII处理者,该处理者不具有除云服务租户针对其处理的PII设置的数据处理目标以及实现云服务租户目标所必需的操作之外的数据处理目标。注意如果公有云PI
3、I处理者正在处理云服务租户帐户数据,则可能是为此目的充当PII控制者。本国际标准不包括此类活动。当与ISO / IEC 27002中的信息安全目标和控制结合使用时,本国际标准的目的是创建一组通用的安全类别和控制,可由作为PII的公有云计算服务提供商实施。处理者。它有以下目标。 - 为了帮助公有云服务提供商在充当PII处理者时遵守适用的义务,这些义务是直接还是通过合同落在PII处理者上。 - 使公有云PII处理者在相关事务上保持透明,以便云服务租户可以选择管理良好的基于云的PII处理服务。 - 协助云服务租户和公有云PII处理者签订合同协议。 - 为云服务租户提供执行审计和合规权利和责任的机制,
4、以便在多方,虚拟化服务器(云)环境中托管的数据的单个云服务租户审计在技术上可能不切实际并且可能增加那些风险物理和逻辑网络安全控制到位。本国际标准并未取代适用的法律法规,但可以为公有云服务提供商提供通用的合规框架,特别是那些在跨国市场运营的公有云服务提供商。0.2 PII保护控制公有云计算服务本国际标准旨在供组织在实施基于ISO / IEC 27001的云计算信息安全管理系统的过程中选择PII保护控制,或作为实施组织普遍接受的PII保护控制的指导文件。充当公有云PII处理者。特别是,该国际标准基于ISO / IEC 27002,考虑了那些可能适用于作为PII处理者的公有云计算服务提供商的PII保
5、护要求所产生的特定风险环境。通常,实施ISO / IEC 27001的组织正在保护自己的信息资产。但是,在作为PII处理者的公有云服务提供商的PII保护要求的背景下,组织正在保护其客户委托给它的信息资产。公有云PII处理者实现ISO / IEC 27002的控制既适用于此目的也是必要的。本国际标准增强了ISO / IEC 27002控制,以适应风险的分布式性质以及云服务租户与公有云PII处理者之间存在的合同关系。本国际标准以两种方式增强了ISO / IEC 27002: - 为某些现有的ISO / IEC 27002控制提供适用于公有云PII保护的实施指南,以及 - 附件A提供了一组附加控制和
6、相关指南,旨在解决现有ISO / IEC 27002控制集未解决的公有云PII保护要求。本国际标准中的大多数控制和指导也适用于PII控制者。但是,在大多数情况下,PII控制者将承担此处未指定的其他义务。0.3 PII保护要求组织必须确定其保护PII的要求。有三个主要的要求来源,如下所示。a)法律,法定,监管和合同要求:一个来源是组织,其贸易伙伴,承包商和服务提供商必须满足的法律,法定,监管和合同要求和义务,以及他们的社会文化责任和运营环境。应该指出的是,PII处理者制定的立法,法规和合同承诺可能要求选择特定的控制措施,也可能需要实施这些控制措施的具体标准。这些要求因司法管辖区而异。b)风险:另
7、一个来源是评估与PII相关的组织的风险,同时考虑到组织的整体业务战略和目标。通过风险评估,确定威胁,评估发生的脆弱性和可能性,并估计潜在影响。 ISO / IEC 27005提供信息安全风险管理指导,包括风险评估,风险接受,风险沟通,风险监控和风险评估方面的建议。 ISO / IEC 29134提供有关隐私影响评估的指导。c)公司政策:虽然公司政策涵盖的许多方面来自法律和社会文化义务,但组织也可以自愿选择超出a)要求的标准。0.4在云计算环境中选择和实施控件可以从该国际标准中选择控制(其中包括参考ISO / IEC 27002的控制,为范围定义的扇区或应用创建组合参考控制集)。如果需要,还可以
8、从其他控制集中选择控件,或者可以设计新控件以满足特定需求。注:公有云PII处理者提供的PII处理服务可以被视为云计算的应用,而不是其本身的扇区。尽管如此,本国际标准中使用的术语“特定于行业”,因为这是ISO / IEC 27000系列中其他标准中使用的常规术语。控制的选择取决于基于风险接受标准,风险处理选项以及适用于组织的一般风险管理方法的组织决策,以及通过合同协议,其客户和供应商,并且还将受到所有相关国家和国际立法和法规。如果没有选择本国际标准的控制措施,则需要记录这一点,并说明遗漏的理由。此外,控制的选择和实施取决于公有云提供商在整个云计算参考架构的上下文中的实际角色(参见ISO / IE
9、C 17789)。许多不同的组织可以参与在云计算环境中提供基础设施和应用服务。在某些情况下,所选择的控件对于云计算参考架构的特定服务类别可以是唯一的。在其他情况下,实现安全控制可以有共享角色。合同协议需要明确规定参与提供或使用云服务的所有组织的PII保护责任,包括公有云PII处理者,其分包商和云服务租户。本国际标准中的控制可被视为指导原则,适用于大多数组织。下面将更详细地解释它们以及实施指南。如果在公有云PII处理者的信息系统,服务和操作的设计中考虑了保护PII的要求,则可以使实施更简单。这种考虑是概念的一个要素,通常被称为“设计隐私”。参考书目列出了相关文件,如ISO / IEC 29101
10、。0.5制定其他准则本国际标准可视为制定PII保护指南的起点。 可能并非本操作规范中的所有控制和指导都适用。 此外,可能还需要未包含在本国际标准中的其他控制和指南。 当开发包含附加指南或控制的文档时,在适用的本国际标准中包含对条款的交叉引用可能是有用的,以便于审计员和业务合作伙伴进行合规性检查。0.6生命周期考虑因素PII具有自然的生命周期,从创造和起源到储存,加工,使用和传播,再到最终的销毁。 PII的风险在其生命周期中可能有所不同,但PII的保护在所有阶段在某种程度上仍然很重要。当现有和新的信息系统在其生命周期中进行管理时,需要考虑PII保护要求。1范围本国际标准根据ISO / IEC 2
11、9100中针对公有云计算环境的隐私原则,建立了普遍接受的控制目标,控制和指导,以实施保护个人身份信息(PII)的措施。特别是,本国际标准规定了基于ISO / IEC 27002的指南,其中考虑了可能适用于公有云服务提供商的信息安全风险环境的PII保护的监管要求。本国际标准适用于所有类型和规模的组织,包括公共和私营公司,政府实体和非营利组织,它们通过与其他组织签订合同的云计算提供作为PII处理者的信息处理服务。本国际标准中的指南也可能与作为PII控制者的组织相关;但是,PII控制者可能会受到额外的PII保护法规,法规和义务的约束,而不适用于PII处理者。本国际标准无意涵盖此类额外义务。2规范性参
12、考文献以下文件的全部或部分内容在本文件中作了规范性引用,并且对于其应用是必不可少的。 凡是注日期的引用文件,仅引用的版本适用。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本标准。ISO / IEC 17788 |建议 ITU-T Y.3500,信息技术 - 云计算 - 概述和词汇1)ISO / IEC 27000:2014,信息技术 - 安全技术 - 信息安全管理系统 - 概述和词汇ISO / IEC 27001:2013,信息技术 - 安全技术 - 信息安全管理系统 - 要求ISO / IEC 27002:2013,信息技术 - 安全技术 - 信息安全控制的操作规范ISO
13、/ IEC 29100:2011,信息技术 - 安全技术 - 隐私框架3术语和定义出于本文档的目的,ISO / IEC 17788,ISO / IEC 27000和以下内容中给出的术语和定义适用。3.1数据泄露危害安全导致意外或非法破坏,丢失,篡改,未经授权披露或访问传输,存储或以其他方式处理的受保护数据来源:ISO / IEC 27040:- 2),3.73.2个人身份信息PII任何可用于识别与此信息相关的PII主体的信息,或者是或可能与PII主体直接或间接相关的信息注1:为了确定PII主体是否可识别,应考虑所有可以由持有数据的隐私权利人或任何其他方合理使用的方法来识别该自然人。来源:ISO
14、 / IEC 29100:2011,2.9注2:该定义用于定义本国际标准中使用的术语PII。公有云PII处理者通常无法明确了解其处理的信息是否属于任何指定类别,除非云服务租户将其透明化。3.3PII控制者隐私利益相关者是决定处理个人身份信息(PII)的目的和方法的人,而不是将数据用于个人目的的自然人注1:PII控制者有时会指示其他人(例如PII处理者)代表其处理PII,而处理的责任仍由PII控制者负责。来源:ISO / IEC 29100:2011,2.103.4PII主体与个人身份信息(PII)相关的自然人注1:根据管辖区域和特定的PII保护和隐私法规,也可以使用同义词“数据主体”代替术语“
15、PII主体”。来源:ISO / IEC 29100:2011,2.113.5 PII处理者隐私利益相关方代表并按照PII控制人员的指示处理个人身份信息(PII)来源:ISO / IEC 29100:2011,2.123.6 PII的处理对个人身份信息(PII)执行的操作或一组操作注1:PII的处理操作的示例包括但不限于PII的收集,存储,更改,检索,咨询,公开,匿名化,假名化,传播或以其他方式提供,删除或销毁。 来源:ISO / IEC 29100:2011,2.233.7公有云服务提供商根据公有云模型提供云服务的一方4概述4.1本标准的结构该国际标准具有与ISO / IEC 27002类似的
16、结构。如果ISO / IEC 27002中规定的目标和控制适用而无需任何其他信息,则仅提供ISO / IEC 27002的参考。附件A(规范性)中描述了适用于云计算服务提供商PII保护的相关实施指南。如果控制需要适用于云计算服务提供商的PII保护的其他指导,则在公有云PII保护实施指南标题下给出。在某些情况下,在“公有云PII保护的其他信息”标题下提供了增强附加指南的更多相关信息。如表1所示,此类行业专用指南和信息包含在ISO / IEC 27002中定义的类别中。与ISO / IEC 27002中相应的条款编号一致的条款编号如表中所示。表1 - ISO / IEC 27002中实施控制的行业
17、指南和其他信息的位置条款编号标题备注5信息安全政策提供了针对特定行业的实施指南和其他信息。6组织信息安全提供了针对特定行业的实施指南。7人力资源安全提供了针对特定行业的实施指南和其他信息。8资产管理没有提供额外的部门特定实施指南或其他信息。9访问控制提供了针对特定行业的实施指南,以及对附件A中控制的交叉引用。10加密提供了针对特定行业的实施指南。11物理和环境安全提供了针对特定行业的实施指南,以及对附件A中控制的交叉引用。12运营安全提供了针对特定行业的实施指南。13通信安全提供了针对特定行业的实施指南,以及对附件A中控制的交叉引用。14系统的获取,开发和维护没有提供额外的部门特定实施指南或其
18、他信息。15供应商关系没有提供额外的部门特定实施指南或其他信息。16信息安全事件管理提供了针对特定行业的实施指南。17业务连续性管理的信息安全方面没有提供额外的部门特定实施指南或其他信息。18合规提供了针对特定行业的实施指南,以及对附件A中控制的交叉引用。4.2控制类别根据ISO / IEC 27002,每个主要控制类别包含:a)控制目标,说明要实现的目标b)可用于实现控制目标的一个或多个控制。控制描述的结构如下:控制定义特定控制语句以满足控制目标。公有云PII保护实施指南提供更详细的信息以支持控制的实施和满足控制目标。在所有情况下,指南可能不完全适合或不充分,并且可能无法满足组织的特定控制要
19、求。因此,替代或额外控制或其他形式的风险处理(避免,转移或接受风险)可能是适当的。有关公有云PII保护的其他信息提供可能需要考虑的进一步信息,例如法律考虑因素和对其他标准的引用。5信息安全政策5.1信息安全管理方向ISO / IEC 27002:2013,5.1中规定的目标适用。5.1.1信息安全政策ISO / IEC 27002中规定的控制5.1.1、相关实施指南和其他信息适用。以下行业特定指南也适公有云PII保护实施指南信息安全政策应通过有关支持和承诺遵守适用的PII保护法规以及公有云PII处理者与其客户(云服务租户cloud service customer)之间达成的合同条款的声明来加
20、强。合同协议应明确分配公有云PII处理者,其分包商和云服务租户之间的职责,同时考虑所涉及的云服务的类型(例如,云计算参考的IaaS,PaaS或SaaS类别的服务)。例如,应用层控制的责任分配可能会有所不同,具体取决于公有云PII处理者是提供SaaS服务还是提供PaaS或IaaS服务,云服务租户可以在其上构建或分层自己的应用程序。有关公有云PII保护的其他信息在某些司法管辖区,公有云PII处理者直接受PII保护法规的约束。在其他地方,PII保护立法仅适用于PII控制者。云服务租户和公有云PII处理者之间的合同提供了一种确保公有云PII处理者有义务支持和管理合规性的机制。合同可以要求独立审计的合规
21、性,可以被云服务租户接受,例如,通过实施本国际标准和ISO / IEC 27002中的相关控制。5.1.2审查信息安全政策ISO / IEC 27002中规定的控制5.1.2及相关实施指南适用。6组织信息安全6.1内部组织ISO / IEC 27002:2013,6.1中规定的目标适用。6.1.1信息安全角色和职责ISO / IEC 27002中规定的控制6.1.1、相关实施指南和其他信息适用。以下行业特定指南也适用。公有云PII保护实施指南公有云PII处理者应指定一个联络点,供云服务租户根据合同处理PII。6.1.2职责分离ISO / IEC 27002中规定的控制6.1.2、相关实施指南和
22、其他信息适用。6.1.3与当局联系ISO / IEC 27002中规定的控制6.1.3、相关实施指南和其他信息适用。6.1.4与特殊利益集团联系ISO / IEC 27002中规定的控制6.1.4、相关实施指南和其他信息适用。6.1.5项目管理中的信息安全ISO / IEC 27002中规定的控制6.1.5、相关实施指南和其他信息适用。6.2移动设备和远程办公适用ISO / IEC 27002:2013,6.2中规定的目标和内容。7人力资源安全7.1就业前适用ISO / IEC 27002:2013,7.1中规定的目标和内容。7.2就业期间ISO / IEC 27002:2013,77中规定的
23、目标适用。7.2.1管理职责ISO / IEC 27002中规定的控制7.2.1、相关实施指南和其他信息适用。7.2.2信息安全意识,教育和培训ISO / IEC 27002中规定的控制7.2.2、相关实施指南和其他信息适用。以下行业特定指南也适用。公有云PII保护实施指南应采取措施,使相关工作人员了解公有云PII处理者(例如法律后果,业务损失和品牌或声誉损害),工作人员(例如纪律后果)和PII负责人(例如,物质的和情感后果)违反隐私或安全规则和程序,尤其是那些涉及PII处理的规则和程序可能产生的后果。有关公有云PII保护的其他信息在某些司法管辖区,公有云PII处理者可能会受到法律制裁,包括直
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISO27018 信息技术 安全技术 作为 PII 管理 组织者 公有 保护 个人 识别 信息 操纵 示范
链接地址:https://www.taowenge.com/p-4484311.html
限制150内