一、前言

云為組織和消費者帶來了諸多好處：節省成本，靈活性和對信息移動便捷的訪問等。 但是它還引起了對數據保護和隱私的擔憂； 特別是圍繞個人身份信息（PII）數據的泄露。

個人身份信息（PII）數據泄露的潛在風險已成為國際首要議程。大量重大信息安全事件已將人們的注意力引向如何保護個人信息。

而企業對安全的投入比以往更多。根據IDC的統計，到2020年，全球IT安全支出達到1.016億美元。

為了解決這一問題，國際標準化組織發布了ISO/IEC 27018標準。

已發布的ISO/IEC 27018標準要求那些已通過標準認證的云服務提供商，告知其現有客戶和潛在客戶其數據受到保護，不會被用于未經他們明確同意的任何目的。

二、什么是ISO/IEC 27018標準

ISO/IEC 27018《信息技術—安全技術—在充當PII處理器的公共云中保護個人身份信息（PII）的行為準則》是主要針對保護云中個人數據安全的行為準則。它基于ISO/IEC 27002標準，提供了適用于公共云個人身份信息(PII)的ISO/IEC 27002控制措施實施指導。此外，它還提供了一組額外的控制措施和相關指導，旨在解決現有的ISO/IEC 27002控制措施集未解決的公共云PII保護要求。

三、ISO/IEC 27018提供的安全控制措施

ISO/IEC 27018將ISO/IEC 27002中描述的一系列安全控制作為基礎，然后以兩種方式擴展。首先，在許多領域中擴展了現有的安全控制，以處理云服務客戶和云服務供應商之間的責任。其次，添加了一組新的安全控制，以反映ISO/IEC29100隱私框架標準中定義的隱私原則。

ISO/IEC 27018擴展的安全控制包括如下:

1、在存儲和任何可移動的物理介質中，對PII進行加密的要求

2、一旦數據不再需要，在指定的時間內刪除PII

3、符合云服務協議中明文規定的目的時，才進行PII處理

4、如法規所明文規定，在處理PII原則的權利問題上，可檢查和糾正PII

四、為什么要獲得ISO27017和ISO27018認證？

對于云提供商，確保消費者信息的安全性是第一要務。 鑒于最近發生的破壞用戶數據的違規行為，通過國際標準獲得認證可以為組織提供全球公認的安全控制。它還向云提供商的客戶展示了他們在保護消費者數據方面的重要性。這為能夠宣稱自己有能力確?？蛻粜畔踩墓咎峁┝霜毺氐臓I銷優勢。

雖然某些組織尋求認證以符合其獨特的法規需求或客戶的需求，但其他組織應考慮ISO27017或ISO27018，以最大程度地減少云服務組織固有的風險和潛在的破壞成本。 遵循嚴格的ISO27017和ISO27018準則，您的組織可以放心地運作，并在客戶中建立信任的聲譽。

五、ISO 27018有什么好處？

增強信任——為客戶和利益相關者提供更大的保證，即個人數據和信息受到保護。

競爭優勢——通過最大限度地保護個人信息，在競爭對手中脫穎而出

保護品牌——減少由于數據泄露而引起的不利宣傳的風險

降低風險——確保識別風險，并采取控制措施來管理或降低風險

防止罰款——確保遵守當地法規，減少數據泄露的罰款風險

發展業務——提供不同國家/地區的通用準則，使在全球開展業務變得更容易，并可以作為首選供應商