如今,雲計算行業廠商習慣於看到服務提供商對符合國際標準化組織(ISO)27001信息安全管理體系標準的要求,但是卻很少討論ISO 27018標準,而這是一個關於個人隱私的標準。ISO27018是一個主要針對保護雲計算中個人數據安全的國際標準。
該標準在2014年春季發佈,但在三年之後,ISO 27018還沒有真正滲透到公眾意識中。英國標準協會(BSI)ISO27018技術經理Rob Whitcher表示,目前企業不可能以ISO27001同樣的方式支持ISO27018。
話雖如此,他承認人們害怕自己的個人信息在雲端中遭遇洩露或被人利用,而這些焦慮大多是不合理的,但這也是非常真實的。
"人們擔心在雲中的數據將會發生什麼。他們會做一些事情,比如在家中運行一個小型的服務器,他們覺得這比運行在Amazon Web Services[AWS]更為安全。而AWS服務器其實更安全,因為數據中心會受到很好的保護。但是很多人不這麼認為。"Whitcher說。
ISO 27018標準採用及其重要性
ISO 27018的目的是為了給那些希望保護他們的數據的服務提供者提供信任,證明他們遵循國際公認的準則。
Whitcher說:"英國標準協會(BSI)正在尋求幫助這些組織。我們將為他們提供ISO 27001認證,但如果他們希望獲得27018,也可以為他們提供。"
他補充說,還有一點是人們對標準以及它們的內容的誤解。他說:"ISO 27001是關於信息的保護,而不是ISO 27018所保護的個人信息。"
為此,ISO27018確定了"個人身份信息"(PII)的含義,以及應該如何處理。
根據條款,PII是(a)可用於識別與此類信息相關的PII主體的任何信息,或(b)可能與PII主體直接或間接相關。
輔助定義是PII主體,有時稱為數據主體,PII控制者是決定數據處理目的的人員。
然而,使用ISO 27018標準不會干擾客戶的責任。最終,如果是組織正在照查看個人資料,該標準並不能免除其責任。
標準中條款表明,"合同協議應明確分配公共雲PII處理器(在這種情況下是雲服務提供商,也就是其分包商和雲服務客戶)之間的責任。"
雖然組織仍然需要處理客戶數據,但ISO27018確實提供了遵循的路徑。
ISO 27018:是誰採用它?
然而,另一個標準ISO 27017,在即將到來的時候尚未批准,但預計將會更加廣泛。
這將是一個實踐守則,提供超出ISO 27002特色的額外建議。最重要的是,它將通過向雲服務提供商及其客戶提供信息和對其職責的總結來幫助雲服務提供商及其客戶。它將超越ISO27018,儘管組織必須等待幾個月才可用。
同時,對於那些想要在雲中對其信息放心的人,服務提供商也急切地採納了這一標準。微軟和AWS就是首先採用的兩家公司,特別是將大部分遵守這個標準。
AWS公司在英國技術傳播者Ian Massingham表示,ISO 2718的授予是AWS公司對隱私承諾的重要組成部分。
他補充說:"ISO 27018的成就向客戶證明,AWS擁有一套具體的管理制度,專門處理其內容的隱私保護。對隱私和保護客戶內容的承諾將永遠是AWS和我們客戶現在和未來的首要任務。"
據英國標準協會(BSI)的Whitcher介紹,還有其他公司希望採用。"Salesforce公司對此具有一定的興趣。"他說,Dropbox公司宣佈在2015年5月遵行這一標準。
他補充道:"隨著越來越多的組織意識到其存在以及越來越多對雲服務提供商的需求,我們當然可以期待廠商對此有更多的興趣。"
雖然持有ISO 27018的雲提供商的數量開始穩步上升,但是Massingham解釋說,為什麼這些廠商持有這個重要標準的原因。
"隨著越來越多的客戶將更多的PII轉移到雲端,這是他們一直在追求的標準。"他補充說,特別是那些在生命科學和醫療行業運營的用戶。
儘管雲計算在企業內迅速採用,但安全性仍然是用戶的重中之重。
Whitcher等行業人士可以指出,所有內容都是安全的,並且雲計算中的一切都處於危險之中的思維有著一定的缺陷,但實際情況是有多少人這麼認為。
時代正在發生變化,雲計算公司越來越意識到可以提供完全相同的保護,而對標準的接受,僅依靠直覺是不夠的。
ISO 27018的崛起是雲部署和個人信息保護並不矛盾的第一個跡象,人們可以期望在未來一年內對這一領域的興趣日益增加。
閱讀更多 中國認證隊長 的文章
