ISO 27018 是一項作業標準,著重於保護雲端個人隱私資料。
藉由與資訊安全標準ISO/IEC 27001的結合,ISO/IEC 27018提供了雲端服務提供商一個在處理個人可識別資訊(PII)時,可以參考的最佳實務指引。這本標準的重點在於協助公有雲服務提供商在扮演PII處理者時,有足夠能力去處理公有雲服務的資安議題,並且在能夠滿足客戶合約和法令法規的前提下,有效地因應雲端上個人資料保護的特定風險。
取得ISO/IEC 27018的必要條件
有鑑於ISO/IEC 27018對於個人資料保護之要求相當完備,並且需要由獨立的第三方實施現場查核,藉由稽核過程中所獲得的客觀證據,才可作為業者已經遵循實施此一國際標準的佐證,這已經是業界公認在雲端服務上保護個資的有效機制。
基本上,適用此一標準而可以進行驗證的組織,以雲端服務提供商為主,而且是提供了公有雲服務,其業務型態包括了個人資料的蒐集、處裡、利用或傳輸等。ISO/IEC 27018要求在服務使用者同意的情況下,針對個人資料生命週期的各個階段,都需要採取適當的保護措施。同時,雲端服務提供商也有義務,需要對雲端服務客戶說明如何確保資料的完整性和透明性等議題,並且尊重使用者對於其個人資料的主張權益。
對於雲端服務提供商來說,在導入ISO/IEC 27018之後,所產生的效益包括了:
·增加使用者的信任:提供更強的安全保護機制,以確認雲端服務客戶和利害關係人的個人資料已經受到妥善的保護。
·強化商業競爭力:比同業的競爭對手提供更高層次的個資保護措施。
·保護品牌和商譽:降低因資安或資料外洩事件的發生,以保護組織的聲譽。
·有效降低資安風險:藉由實施風險評鑑的過程來選擇適當的控制措施,可有效地管理可能的資安風險。
·協助組織營運成長:對於跨國的企業或提供不同國家服務的雲端服務提供商,可以提供一個共同的規範準則,協助組織更容易地在世界各地提供公眾使用的雲端服務。
ISO/IEC 27018國際標準的架構
ISO/IEC 27018標準的內容主要由兩個部份組成,它分別參考了ISO/IEC 27001附錄A,也就是ISO/IEC 27002的16項控制措施,以及根據ISO/IEC 29100的11項隱私權框架原則所追加的25項控制措施。以下僅針對個資隱私保護原則的部份,做簡要的說明。
1. 同意及選擇
2. 目的適法性及規定
3. 資料極小化
4. 利用、持有及揭露限制
5. 公開、透明及告知
6. 可歸責性
7. 資訊安全
8. 隱私遵循
以標準做法和國際服務要求接軌
ISO/IEC 27018是全世界第一個針對雲端服務提供商如何在公有雲上保護個人資料的國際標準,已順利通過ISO/IEC 27018的雲端服務提供商,可以宣告基於此國際標準的要求,對於雲端服務上個人資料的蒐集、處理、利用或傳輸等,已經受到適當有效的安全保護。
目前,已經通過驗證的雲端服務提供商,包括了微軟的Azure和Office 365、Amazon的AWS、Google、Dropbox、Box.com、香港的Ribose、日本的HDE和TKC、韓國的NAVER Business Platform Corp.等業者…….
期許台灣的雲端服務提供商,也能參考此一國際標準的要求,及早取得證書來和國際業界接軌。
************************************
新文明擁有多位專業的管理顧問師協助公司行號順利建置ISO 27018系統及通過相關驗證,
詳情請洽
新文明管理顧問公司
歡迎致電~03-5502790/5502710
************************************
資料來源:NetAdmin網管人技術專欄
