ISO27018概述了认证的云服务提供商可以在其控制框架中包括的几个关键准则,以证明它们符合标准。

这些准则包括:

除非客户同意,否则PII不能用于商业营销或广告目的。

客户可以控制自己的数据, 并且云提供商只能按照客户的指示来处理PII。

通过公共网络传输,存储在移动设备上或恢复或还原数据时,云服务提供商需要以特定方式处理PII。

云服务提供商(和相关人员)还必须签署保密协议,并为将直接处理PII的员工提供专门培训。

如果发生数据泄露,提供者应立即通知客户,保持事件的清晰记录,并协助其客户继续遵守其自身的安全义务。

在签署合同之前,云服务提供商必须披露任何子处理器的名称(以及有关PII可能在何处处理的任何位置信息)。

如果提供商在合同中途更改了子处理器,则它还必须披露此信息,并向客户提供终止合同的权利。

尽管该全球标准特别适用于云中的PII带来了好处,但绝大多数云提供商仍未赶上潮流。

但是与行业紧密相关的人士认为,大市场期望符合ISO 2701 8标准只是时间问题。

ISO27018适用于哪些企业?

ISO27018认证适用于任何部门的大型或小型组织。

该标准特別适用于在云端环境中存储个人资料(例如工资单,HR或客户付款明细)的保护。

现在,GDPR现已生效,对于组织而言,证明合规性并显示其如何保护数据(尤其是未存储在一个位置的数据)至关重要。

如果您的组织已经在实施ISO 27001 ISMS,则符合IS027001的70%规定。

但是,如果使用的是基于云的技术,则IS0 27018被视为有效的附加标准,因为公司希望专门通过存储在云中的数据证明GDPR的合规性。

ISO27018体系认证的好处

1、激发对企业的信任一为客户和利益相关者提供更大的保证,即个人根据和信息受到保护;

2、竞争优势一通过最大限度地保护个人信息,在竞争对手中脱颖而出;

3、品牌保护一减少由于数据泄露而引起的不利宣传的风险;

4、降低风险一确保识别风险,并采取控制措施来管理或降低风险;

5、防止罚款一确保遵守当地法规,减少数据泄露的罚款风险;

6、发展业务一提供不同国家/地区的通用准则,使在全球开展业务变得更容易,并可以作为首选供应商。