logo资料库

ISO27018-中文.pdf

发布时间:2022-06-26 发布人:admin 分类:说明书 资料大小:0.55M 资料格式:pdf 举报 版权申诉
第1页 / 共21页
第2页 / 共21页
第3页 / 共21页
第4页 / 共21页
第5页 / 共21页
第6页 / 共21页
第7页 / 共21页
第8页 / 共21页
资料共21页,剩余部分请下载后查看
    信息技术 - 安全技术 - 作为 PII 处理者的公有云中保护个人可识 别信息(PII)的操作规范 0 简介 0.1 背景和背景 根据合同处理其客户的个人身份信息(PII)的云服务提供商必须以允许双方满足保护 PII 的适用法律和法规要求的方式运营其服务。云服务提供商与其客户之间划分要求的方式和方 式因法律管辖权以及云服务提供商与客户之间的合同条款而异。管理 PII 如何被处理(即收 集,使用,转让和处置)的立法有时被称为数据保护立法; PII 有时被称为个人数据或个人信 息。 PII 处理者的义务因管辖区而异,这使得提供云计算服务的企业在跨国运营方面面临挑 战。 公有云服务提供商在根据云服务租户的指示处理 PII 时是“PII 处理者”。与公有云 PII 处 理者具有合同关系的云服务租户可以是自然人,“PII 主体”,在云中处理他或她自己的 PII, 到组织,“PII 控制者”,处理与许多 PII 原则有关的 PII。云服务租户可以授权与其关联的一个 或多个云服务用户根据其与公有云 PII 处理者的合同使用可用的服务。请注意,云服务租户 拥有处理和使用数据的权限。同时也是 PII 控制者的云服务租户可能受到比公有云 PII 处理 者更广泛的管理 PII 保护的义务。保持 PII 控制者和 PII 处理者之间的区别依赖于公有云 PII 处理者,该处理者不具有除云服务租户针对其处理的 PII 设置的数据处理目标以及实现云服 务租户目标所必需的操作之外的数据处理目标。 注意如果公有云 PII 处理者正在处理云服务租户帐户数据,则可能是为此目的充当 PII 控 制者。本国际标准不包括此类活动。 当与 ISO / IEC 27002 中的信息安全目标和控制结合使用时,本国际标准的目的是创建 一组通用的安全类别和控制,可由作为 PII 的公有云计算服务提供商实施。处理者。它有以 下目标。 - 为了帮助公有云服务提供商在充当 PII 处理者时遵守适用的义务,这些义务是直接 还是通过合同落在 PII 处理者上。 - 使公有云 PII 处理者在相关事务上保持透明,以便云服务租户可以选择管理良好的 基于云的 PII 处理服务。 - 协助云服务租户和公有云 PII 处理者签订合同协议。 - 为云服务租户提供执行审计和合规权利和责任的机制,以便在多方,虚拟化服务器 (云)环境中托管的数据的单个云服务租户审计在技术上可能不切实际并且可能增加那些风 险物理和逻辑网络安全控制到位。 本国际标准并未取代适用的法律法规,但可以为公有云服务提供商提供通用的合规框架, 特别是那些在跨国市场运营的公有云服务提供商。 0.2 PII 保护控制公有云计算服务 本国际标准旨在供组织在实施基于 ISO / IEC 27001 的云计算信息安全管理系统的过程 中选择 PII 保护控制,或作为实施组织普遍接受的 PII 保护控制的指导文件。充当公有云 PII 处理者。特别是,该国际标准基于 ISO / IEC 27002,考虑了那些可能适用于作为 PII 处理者
    的公有云计算服务提供商的 PII 保护要求所产生的特定风险环境。 通常,实施 ISO / IEC 27001 的组织正在保护自己的信息资产。但是,在作为 PII 处理者 的公有云服务提供商的 PII 保护要求的背景下,组织正在保护其客户委托给它的信息资产。 公有云 PII 处理者实现 ISO / IEC 27002 的控制既适用于此目的也是必要的。本国际标准增强 了 ISO / IEC 27002 控制,以适应风险的分布式性质以及云服务租户与公有云 PII 处理者之间 存在的合同关系。本国际标准以两种方式增强了 ISO / IEC 27002: - 为某些现有的 ISO / IEC 27002 控制提供适用于公有云 PII 保护的实施指南,以及 - 附件 A 提供了一组附加控制和相关指南,旨在解决现有 ISO / IEC 27002 控制集未解 决的公有云 PII 保护要求。 本国际标准中的大多数控制和指导也适用于 PII 控制者。但是,在大多数情况下,PII 控 制者将承担此处未指定的其他义务。 0.3 PII 保护要求 组织必须确定其保护 PII 的要求。有三个主要的要求来源,如下所示。 a)法律,法定,监管和合同要求:一个来源是组织,其贸易伙伴,承包商和服务提供 商必须满足的法律,法定,监管和合同要求和义务,以及他们的社会文化责任和运营环境。 应该指出的是,PII 处理者制定的立法,法规和合同承诺可能要求选择特定的控制措施,也 可能需要实施这些控制措施的具体标准。这些要求因司法管辖区而异。 b)风险:另一个来源是评估与 PII 相关的组织的风险,同时考虑到组织的整体业务战略 和目标。通过风险评估,确定威胁,评估发生的脆弱性和可能性,并估计潜在影响。 ISO / IEC 27005 提供信息安全风险管理指导,包括风险评估,风险接受,风险沟通,风险监控和 风险评估方面的建议。 ISO / IEC 29134 提供有关隐私影响评估的指导。 c)公司政策:虽然公司政策涵盖的许多方面来自法律和社会文化义务,但组织也可以 自愿选择超出 a)要求的标准。 0.4 在云计算环境中选择和实施控件 可以从该国际标准中选择控制(其中包括参考 ISO / IEC 27002 的控制,为范围定义的 扇区或应用创建组合参考控制集)。如果需要,还可以从其他控制集中选择控件,或者可以 设计新控件以满足特定需求。 注:公有云 PII 处理者提供的 PII 处理服务可以被视为云计算的应用,而不是其本身的 扇区。尽管如此,本国际标准中使用的术语“特定于行业”,因为这是 ISO / IEC 27000 系列中 其他标准中使用的常规术语。 控制的选择取决于基于风险接受标准,风险处理选项以及适用于组织的一般风险管理方 法的组织决策,以及通过合同协议,其客户和供应商,并且还将受到所有相关国家和国际立 法和法规。如果没有选择本国际标准的控制措施,则需要记录这一点,并说明遗漏的理由。 此外,控制的选择和实施取决于公有云提供商在整个云计算参考架构的上下文中的实际 角色(参见 ISO / IEC 17789)。许多不同的组织可以参与在云计算环境中提供基础设施和应 用服务。在某些情况下,所选择的控件对于云计算参考架构的特定服务类别可以是唯一的。 在其他情况下,实现安全控制可以有共享角色。合同协议需要明确规定参与提供或使用云服 务的所有组织的 PII 保护责任,包括公有云 PII 处理者,其分包商和云服务租户。 本国际标准中的控制可被视为指导原则,适用于大多数组织。下面将更详细地解释它们
    以及实施指南。如果在公有云 PII 处理者的信息系统,服务和操作的设计中考虑了保护 PII 的 要求,则可以使实施更简单。这种考虑是概念的一个要素,通常被称为“设计隐私”。参考书 目列出了相关文件,如 ISO / IEC 29101。 0.5 制定其他准则 本国际标准可视为制定 PII 保护指南的起点。 可能并非本操作规范中的所有控制和指 导都适用。 此外,可能还需要未包含在本国际标准中的其他控制和指南。 当开发包含附加 指南或控制的文档时,在适用的本国际标准中包含对条款的交叉引用可能是有用的,以便于 审计员和业务合作伙伴进行合规性检查。 0.6 生命周期考虑因素 PII 具有自然的生命周期,从创造和起源到储存,加工,使用和传播,再到最终的销毁。 PII 的风险在其生命周期中可能有所不同,但 PII 的保护在所有阶段在某种程度上仍然很重 要。 当现有和新的信息系统在其生命周期中进行管理时,需要考虑 PII 保护要求。 1 范围 本国际标准根据 ISO / IEC 29100 中针对公有云计算环境的隐私原则,建立了普遍接受 的控制目标,控制和指导,以实施保护个人身份信息(PII)的措施。 特别是,本国际标准规定了基于 ISO / IEC 27002 的指南,其中考虑了可能适用于公有 云服务提供商的信息安全风险环境的 PII 保护的监管要求。 本国际标准适用于所有类型和规模的组织,包括公共和私营公司,政府实体和非营利组 织,它们通过与其他组织签订合同的云计算提供作为 PII 处理者的信息处理服务。 本国际标准中的指南也可能与作为 PII 控制者的组织相关;但是,PII 控制者可能会受到 额外的 PII 保护法规,法规和义务的约束,而不适用于 PII 处理者。本国际标准无意涵盖此类 额外义务。 2 规范性参考文献 以下文件的全部或部分内容在本文件中作了规范性引用,并且对于其应用是必不可少的。 凡是注日期的引用文件,仅引用的版本适用。 凡是不注日期的引用文件,其最新版本(包 括所有的修改单)适用于本标准。 ISO / IEC 17788 |建议 ITU-T Y.3500,信息技术 - 云计算 - 概述和词汇[1]) ISO / IEC 27000:2014,信息技术 - 安全技术 - 信息安全管理系统 - 概述和词汇 ISO / IEC 27001:2013,信息技术 - 安全技术 - 信息安全管理系统 - 要求 ISO / IEC 27002:2013,信息技术 - 安全技术 - 信息安全控制的操作规范 ISO / IEC 29100:2011,信息技术 - 安全技术 - 隐私框架 3 术语和定义 出于本文档的目的,ISO / IEC 17788,ISO / IEC 27000 和以下内容中给出的术语和定义 适用。 3.1 数据泄露
    危害安全导致意外或非法破坏,丢失,篡改,未经授权披露或访问传输,存储或以其他 方式处理的受保护数据[来源:ISO / IEC 27040:- [2]),3.7] 3.2 个人身份信息 PII 任何可用于识别与此信息相关的 PII 主体的信息,或者是或可能与 PII 主体直接或间接 相关的信息 注 1:为了确定 PII 主体是否可识别,应考虑所有可以由持有数据的隐私权利人或任何 其他方合理使用的方法来识别该自然人。[来源:ISO / IEC 29100:2011,2.9] 注 2:该定义用于定义本国际标准中使用的术语 PII。公有云 PII 处理者通常无法明确了 解其处理的信息是否属于任何指定类别,除非云服务租户将其透明化。 3.3PII 控制者 隐私利益相关者是决定处理个人身份信息(PII)的目的和方法的人,而不是将数据用于 个人目的的自然人 注 1:PII 控制者有时会指示其他人(例如 PII 处理者)代表其处理 PII,而处理的责任仍 由 PII 控制者负责。[来源:ISO / IEC 29100:2011,2.10] 3.4PII 主体 与个人身份信息(PII)相关的自然人 注 1:根据管辖区域和特定的 PII 保护和隐私法规,也可以使用同义词“数据主体”代替术 语“PII 主体”。[来源:ISO / IEC 29100:2011,2.11] 3.5 PII 处理者 隐私利益相关方代表并按照 PII 控制人员的指示处理个人身份信息(PII)[来源:ISO / IEC 29100:2011,2.12] 3.6 PII 的处理 对个人身份信息(PII)执行的操作或一组操作 注 1:PII 的处理操作的示例包括但不限于 PII 的收集,存储,更改,检索,咨询,公开, 匿名化,假名化,传播或以其他方式提供,删除或销毁。 [来源:ISO / IEC 29100:2011,2.23] 3.7 公有云服务提供商 根据公有云模型提供云服务的一方 4 概述 4.1 本标准的结构 该国际标准具有与 ISO / IEC 27002 类似的结构。如果 ISO / IEC 27002 中规定的目标和 控制适用而无需任何其他信息,则仅提供 ISO / IEC 27002 的参考。附件 A(规范性)中描述 了适用于云计算服务提供商 PII 保护的相关实施指南。 如果控制需要适用于云计算服务提供商的 PII 保护的其他指导,则在公有云 PII 保护实 施指南标题下给出。在某些情况下,在“公有云 PII 保护的其他信息”标题下提供了增强附加 指南的更多相关信息。 如表 1 所示,此类行业专用指南和信息包含在 ISO / IEC 27002 中定义的类别中。与 ISO / IEC 27002 中相应的条款编号一致的条款编号如表中所示。
    条款编 号 5 6 7 8 9 10 11 12 13 14 15 16 17 18 表 1 - ISO / IEC 27002 中实施控制的行业指南和其他信息的位置 标题 备注 信息安全政策 组织信息安全 人力资源安全 资产管理 访问控制 加密 物理和环境安全 运营安全 通信安全 提供了针对特定行业的实施指南和其他信息。 提供了针对特定行业的实施指南。 提供了针对特定行业的实施指南和其他信息。 没有提供额外的部门特定实施指南或其他信息。 提供了针对特定行业的实施指南,以及对附件 A 中控 制的交叉引用。 提供了针对特定行业的实施指南。 提供了针对特定行业的实施指南,以及对附件 A 中控 制的交叉引用。 提供了针对特定行业的实施指南。 提供了针对特定行业的实施指南,以及对附件 A 中控 制的交叉引用。 系统的获取,开发和维护 没有提供额外的部门特定实施指南或其他信息。 供应商关系 没有提供额外的部门特定实施指南或其他信息。 信息安全事件管理 提供了针对特定行业的实施指南。 业务连续性管理的信息安 全方面 没有提供额外的部门特定实施指南或其他信息。 合规 提供了针对特定行业的实施指南,以及对附件 A 中控 制的交叉引用。 4.2 控制类别 根据 ISO / IEC 27002,每个主要控制类别包含: a)控制目标,说明要实现的目标 b)可用于实现控制目标的一个或多个控制。 控制描述的结构如下: 控制 定义特定控制语句以满足控制目标。 公有云 PII 保护实施指南 提供更详细的信息以支持控制的实施和满足控制目标。在所有情况下,指南可能不完全 适合或不充分,并且可能无法满足组织的特定控制要求。因此,替代或额外控制或其他形式 的风险处理(避免,转移或接受风险)可能是适当的。 有关公有云 PII 保护的其他信息 提供可能需要考虑的进一步信息,例如法律考虑因素和对其他标准的引用。 5 信息安全政策 5.1 信息安全管理方向 ISO / IEC 27002:2013,5.1 中规定的目标适用。 5.1.1 信息安全政策
    ISO / IEC 27002 中规定的控制 5.1.1、相关实施指南和其他信息适用。以下行业特定指 南也适 公有云 PII 保护实施指南 信息安全政策应通过有关支持和承诺遵守适用的 PII 保护法规以及公有云 PII 处理者与 其客户(云服务租户 cloud service customer)之间达成的合同条款的声明来加强。 合同协议应明确分配公有云 PII 处理者,其分包商和云服务租户之间的职责,同时考虑 所涉及的云服务的类型(例如,云计算参考的 IaaS,PaaS 或 SaaS 类别的服务)。例如,应 用层控制的责任分配可能会有所不同,具体取决于公有云 PII 处理者是提供 SaaS 服务还是 提供 PaaS 或 IaaS 服务,云服务租户可以在其上构建或分层自己的应用程序。 有关公有云 PII 保护的其他信息 在某些司法管辖区,公有云 PII 处理者直接受 PII 保护法规的约束。在其他地方,PII 保 护立法仅适用于 PII 控制者。 云服务租户和公有云 PII 处理者之间的合同提供了一种确保公有云 PII 处理者有义务支 持和管理合规性的机制。合同可以要求独立审计的合规性,可以被云服务租户接受,例如, 通过实施本国际标准和 ISO / IEC 27002 中的相关控制。 5.1.2 审查信息安全政策 ISO / IEC 27002 中规定的控制 5.1.2 及相关实施指南适用。 6 组织信息安全 6.1 内部组织 ISO / IEC 27002:2013,6.1 中规定的目标适用。 6.1.1 信息安全角色和职责 ISO / IEC 27002 中规定的控制 6.1.1、相关实施指南和其他信息适用。以下行业特定指 南也适用。 公有云 PII 保护实施指南 公有云 PII 处理者应指定一个联络点,供云服务租户根据合同处理 PII。 6.1.2 职责分离 ISO / IEC 27002 中规定的控制 6.1.2、相关实施指南和其他信息适用。 6.1.3 与当局联系 ISO / IEC 27002 中规定的控制 6.1.3、相关实施指南和其他信息适用。 6.1.4 与特殊利益集团联系 ISO / IEC 27002 中规定的控制 6.1.4、相关实施指南和其他信息适用。 6.1.5 项目管理中的信息安全 ISO / IEC 27002 中规定的控制 6.1.5、相关实施指南和其他信息适用。
    6.2 移动设备和远程办公 适用 ISO / IEC 27002:2013,6.2 中规定的目标和内容。 7 人力资源安全 7.1 就业前 适用 ISO / IEC 27002:2013,7.1 中规定的目标和内容。 7.2 就业期间 ISO / IEC 27002:2013,77 中规定的目标适用。 7.2.1 管理职责 ISO / IEC 27002 中规定的控制 7.2.1、相关实施指南和其他信息适用。 7.2.2 信息安全意识,教育和培训 ISO / IEC 27002 中规定的控制 7.2.2、相关实施指南和其他信息适用。以下行业特定指 南也适用。 公有云 PII 保护实施指南 应采取措施,使相关工作人员了解公有云 PII 处理者(例如法律后果,业务损失和品牌 或声誉损害),工作人员(例如纪律后果)和 PII 负责人(例如,物质的和情感后果)违反隐 私或安全规则和程序,尤其是那些涉及 PII 处理的规则和程序可能产生的后果。 有关公有云 PII 保护的其他信息 在某些司法管辖区,公有云 PII 处理者可能会受到法律制裁,包括直接从当地 PII 保护 机构处以巨额罚款。在其他司法管辖区,在建立公有云 PII 处理者和云服务租户之间的合同 时使用此类国际标准有助于为违反安全规则和程序的合同制裁奠定基础。 7.2.3 纪律程序 ISO / IEC 27002 中规定的控制 7.2.3、相关实施指南和其他信息适用。 7.3 终止和改变就业 ISO / IEC 27002:2013,7.3 中规定的目标和内容适用。 8 资产管理 适用 ISO / IEC 27002:2013 第 8 章中规定的目标和内容。 9 访问控制 9.1 访问控制的业务要求 适用 ISO / IEC 27002:2013,9.1 中规定的目标和内容。 9.2 用户访问管理 ISO / IEC 27002:2013,99 中规定的目标适用。以下针对特定行业的指南也适用于本子 条款(9.2)下所有控制措施的实施。
    公有云 PII 保护实施指南 在云计算参考架构的服务类别的上下文中,云服务租户可以负责其控制下的云服务用户 的访问管理的部分或全部方面。在适当的情况下,公有云 PII 处理者应该允许云服务租户 (cloud service customers)能够管理其控制下的云服务用户(cloud service users)的访 问,例如通过提供管理或终止访问的管理权限。 9.2.1 用户注册和注销 ISO / IEC 27002 中规定的控制 9.2.1、相关实施指南和其他信息适用。以下行业特定指 南也适用。 公有云 PII 保护实施指南 用户注册和注销的程序应能够处理用户访问控制受到损害的情况,例如密码或其他用户 注册数据的损坏或损害(例如,由于无意泄露)。 注:个别司法管辖区可能会对未使用的身份验证凭据的检查频率施加特定要求。在这些 司法管辖区运营的组织应确保其符合这些要求。 9.2.2 用户访问配置 ISO / IEC 27002 中规定的控制 9.2.2、相关实施指南和其他信息适用。 9.2.3 特权访问权限的管理 ISO / IEC 27002 中规定的控制 9.2.3、相关实施指南和其他信息适用。 9.2.4 管理用户的秘密认证信息 ISO / IEC 27002 中规定的控制 9.2.4、相关实施指南和其他信息适用。 9.2.5 审核用户访问权限 ISO / IEC 27002 中规定的控制 9.2.5、相关实施指南和其他信息适用。 9.2.6 删除或调整访问权限 ISO / IEC 27002 中规定的控制 9.2.6、相关实施指南和其他信息适用。 9.3 用户责任 ISO / IEC 27002:2013,99 中规定的目标适用。 9.3.1 使用秘密认证信息 ISO / IEC 27002 中规定的控制 9.3.1 及相关实施指南适用。 9.4 系统和应用程序访问控制 ISO / IEC 27002:2013,94 中规定的目标适用。 9.4.1 信息访问限制 ISO / IEC 27002 中规定的控制 9.4.1 及相关实施指南适用。 注:有关信息访问限制的附加控制和指南可在 A.10.13 中找到。
    分享到:
    收藏

    相关推荐

    资料库

    安全技术

    共收录1285份资料,累计4个分类,关注成员有19位,主要包括:网络攻防,系统安全,其它,网络安全

    热门标签

    网络攻防 系统安全 其它 网络安全

    最新资料