GDPR 和 ISO 27018 的功能略有不同。GDPR 规定了数据隐私和保护法规。ISO 27018 为您提供了一个管理数据保护和信息安全风险的实用框架。

什么是 ISO 27018:2019？高管需要知道的一切

了解 ISO 27018 控制如何帮助云服务提供商降低个人数据的安全风险。

ISO 27018 是第一个专门针对云计算中的数据隐私制定的国际标准。根据国际标准化组织 (ISO)的说法，其主要目标是建立“普遍接受的控制目标、控制和指导方针，以实施保护个人身份信息 (PII) 的措施”。

ISO 27018 是 ISO 27000 系列标准的一部分，它定义了信息安全管理的最佳实践。ISO 27018 为 ISO/IEC 27001 和 ISO/IEC 27002 标准增加了新的指南、增强功能和安全控制，帮助云服务提供商更好地管理云计算中 PII 特有的数据安全风险。

尽管 ISO 27018 不是法律，但遵循其指导方针并获得认证有很多好处（更多内容见下文）。由于该标准并非免费向公众开放，因此我们对其进行了梳理，以帮助您在合规性和认证方面做出明智的决策。

以下是您需要了解的有关 ISO 27018 的最重要事项，以及为什么遵循它是一个好主意。

“2019”版本与“2014”版本 - 有什么新功能？

ISO 27018 于 2014 年首次创建 (ISO/IEC 27018:2014)，最后一次修订于 2019 年 (ISO/IEC 27018:2019)。两个版本之间的差异很小，不会以任何主要方式改变云计算和公共云应用程序中保护 PII 的最佳实践。

正如 ISO 在 2019 版第 2 节中所述，“此第二版取消并取代了第一版 (ISO/IEC 27018:2014)。” 它继续解释说，修订主要是为了纠正附件 A 中的编辑错误。

但是，从认证的角度来看，需要指出的一个值得注意的修订是，ISO 27018 在文件本身中不再被称为“标准”。相反，最新版本将所有提及的“标准”替换为“文档”一词。

简单来说，这意味着ISO 27018 现在被认为是一套增强 ISO 27001（构建信息安全管理系统或 ISMS 的标准）的指导方针和控制措施，而不是组织进行认证的标准。

如果云服务提供商处理 PII，则应使用 27018 指南根据 ISO 27001 进行认证。

为什么 ISO 27018 合规性是有益的

普华永道的一项研究发现，“如果担心公司的安全实践，85% 的消费者不会与公司开展业务。” 简而言之，ISO 27018 合规性对于云服务提供商及其客户来说都是一项竞争优势：

• 对于云服务客户：如果您可以向消费者展示他们的数据受到全面 PII 保护标准的保护（通过与遵循 ISO 27018 的云服务提供商合作），他们将更有可能与您开展业务。

• 对于云服务提供商：如果您符合 ISO 27018 标准，则可以更轻松地与潜在客户达成交易，因为您可以说“我们遵循最全面的数据控制”。

以下是 ISO 27018 合规性使企业受益的另外四种方式。

1. 改进全球运营

由于 ISO 27018 是 ISO 27001 的扩展，因此它是国际公认标准的一部分。这意味着如果云服务提供商在全球开展业务，则更容易为其安全实践提供保证，因为该标准在大多数国家/地区都得到认可。

注意：鉴于 ISO 27018 被全球接受，在许多情况下，遵循 ISO 27018 将简化云隐私。但是，咨询精通您尝试开展业务的特定国家/地区法律的数据隐私律师以确保您合规始终很重要。

2. 加强安全和法律保护

获得 ISO 27001/27018 认证是为任何在云中处理数据的企业建立安全基线的重要部分。简而言之，遵循这些标准可以帮助您降低安全风险，因为它们被认为是云计算应用程序中的一些综合性标准。

实施 ISO 27018 控制并获得认证还有助于保护您的企业免受在发生违规事件时疏忽或鲁莽的指控。

疏忽指控通常会招致更严厉的处罚（正如 Equifax 在 2019 年发现的那样）。但是，如果企业使用定义明确、基于风险的方法来保护用户的个人数据，它不仅会降低泄露的可能性，而且还证明了公司对安全的关注。

云服务提供商的客户也是如此。与通过 ISO 27001/27018 认证的云提供商合作向监管机构表明您正在采取重要措施来保护用户的个人数据。

3. 简化的销售流程

企业安全是许多 IT 销售交易的主要摩擦点。ISO 27018 有助于减少这种摩擦，因为它简化了企业安全签署所需的信息量。

通过 ISO 27001/27018 认证的云服务提供商可以简单地让他们的客户审查他们的适用性声明（范围内的安全控制和实施的列表），而不是来自潜在客户的冗长的调查或问卷调查，以向他们提供他们的保证需要完成交易。

4. 为大流行后世界提供更好的安全保障

由于COVID-19 导致远程工作的增加，云计算的使用率正在以显着的速度增长（根据普华永道的数据，2020 年的支出增长了 37% ）。据国际刑警组织和美国商会称，这种增长也导致全球网络攻击的增加。

然而，尽管许多员工已经返回办公室，但截至 2020 年底，普华永道的一项调查显示，即使在大流行结束后，远程工作也可能会很普遍。因此，云使用率可能会保持很高以适应远程工作人员，并且在 COVID-19 早已消失后，ISO 27018 合规性将继续保持有益。

ISO 27018 控制与合规

如果您认真对待 ISO 27018 中规定的控制措施或获得 ISO 27001 认证，我们强烈建议您阅读这两个标准，以熟悉对您的所有要求。

为了更好地了解您需要准备的内容，这里概述了 ISO 27018 中规定的控制措施以及通过 ISO 27001 进行认证的流程。

ISO 27018 控制概述

以下要求是云服务提供商关于如何更新其程序、技术、基础设施等的指南，以遵循 ISO 27018 中规定的控制措施。

其中一些建议可能会让人感到熟悉，因为它们出现在GDPR等法规中（这只是 ISO 27018 指南如何帮助您满足不同国家/地区的法规要求的一个示例）：

1. 始终根据客户的意愿处理客户数据。基本上，您需要证明您只是按照其所有者明确表示可以的方式使用 PII。这意味着，如果用户说您不允许将他们的信息用于营销和广告，那么您应该有确保永远不会发生的流程。

2. 帮助云客户在用户请求时为他们的数据提供访问权限。或者，用简单的英语来说，如果您的客户的客户想要访问他们的数据，您需要设置流程和技术来帮助他们做到这一点。

3. 使云客户能够在发生数据泄露时遵守其通知义务。如果遭到破坏，云服务提供商应帮助其客户了解自己的数据。

4. 与最低要求的各方共享信息。基本上，除非您需要将其交出，否则请保持数据的私密性。这有助于保护个人信息的安全。

5. 告诉您的客户您与他们签订的合同中的任何子处理器。这包括通知您的客户有关正在处理该数据的任何位置。

6. 确保您有处理（或返回）不再使用的数据的政策。例如，如果客户终止了与您的服务协议，您必须制定如何处理他们的数据的计划。

7. 让第三方定期审查和审计您的运营。第三方每年都要求进行认证。但是，如果您对处理程序进行重大更改，您还需要第三方对其进行审查。

8. 确保有权访问您客户数据的每位员工都在 NDA 之下。如果您的一名员工在不应该共享数据的情况下负责共享数据，这会增加问责制和法律保护。

9. 确保您的员工接受过充分的培训。所有有权访问客户数据的员工都应接受培训，以按照 ISO 27018 指南处理数据。

ISO 27001 认证流程概述

如上所述，ISO 27018 认证是云服务提供商 ISO 27001 认证过程的一部分。ISO 27001 认证要求每三年进行一次，由 ISO 认可的第三方确定。它通常分两个阶段发生：

1. 第 1 阶段：对您的信息安全管理系统 (ISMS) 进行非正式审查。第 1 阶段的目的是让审核员熟悉您的组织。在此阶段，审核员将检查关键文件和程序（以确保它们存在）。

2. 第 2 阶段：正式的合规审计。在第 2 阶段，审核员将根据 ISO 27001 和 27018 中的要求对您的 ISMS 进行详细测试，寻找证明其符合标准中规定的要求的证据。如果您的 ISMS 通过此阶段，您将获得当年的认证。

获得认证后，您将被要求参加年度监督审核，以确保持续合规。如果您的 ISMS 处于较新的一侧，它们可能每年发生几次，以确保一切正常。

ISO 27018 控制是否值得实施？

虽然 ISO 27018 中规定的控制在法律上不是必需的，但如果您是处理 PII 的云服务提供商，那么遵循它们是一个非常好的主意——尤其是如果您在国际上开展业务。

确实，通过 ISO 27001 进行认证的成本可能会让某些人望而却步（认证成本因业务而异，取决于您的业务规模、云使用范围等）。但数据泄露也不便宜（平均为 386 万美元）。

尽管认证并不能完全防止违规，但 ISO 27018 建议的控制措施肯定可以提高您避免违规的机会（即使发生违规事件，您也将获得更好的覆盖范围），即使您不寻求认证.

尤其是当您考虑违规可能对您的品牌产生的影响时（65%到80%的消费者对被违规的公司失去信任）！