國際標準化組織（ISO）已發(fā)布了ISO27018 的第二版：ISO/IEC 27018:2019，該指南是針對處理個人身份信息（PII）的云服務提供商的指南，該指南最初于2014年發(fā)布。

眾所周知，信息技術世界和保護個人身份信息是一個不斷發(fā)展的問題。 我們在這里討論了ISO/IEC 27018:2019與其他關鍵法規(guī)（例如GDPR）之間的相互作用。

現(xiàn)在，有了ISO提出的這一新指南ISO/IEC 27018:2019，就引出了一個問題：這是主要變化還是次要變化？

簡短的答案嵌入在第2節(jié)的序言中：“第二版取消并替代了第一版（ISO/IEC 27018:2014），該第一版構成較小的修訂。 與上一版相比，主要變化是對附件A中編輯錯誤的更正。”

這意味著，對于大多數(shù)意圖和目的，ISO/IEC 27018:2019中規(guī)定的指南在很大程度上保持不變，但有一些警告。 注意：

1）任何對ISO/IEC 27018:2019作為國際標準的引用均已修改，以反映它現(xiàn)在是“文檔”。

這源于技術性，即ISO/IEC 27018:2019并非組織可以依據(jù)的標準，而是控制和指南的附加子集，可以增強組織現(xiàn)有的信息安全管理系統(tǒng)，而該系統(tǒng)也將通過ISO 27001（信息安全）進行認證。管理體系標準。

2）對某些輔助動詞進行次要更新，以更恰當?shù)貪M足不同行業(yè)組織的獨特需求。

這并不反映對ISO/IEC 27018:2019控件的目的和宗旨的任何徹底改變，而似乎只是ISO方面的一種嘗試，目的是更簡單地介紹組織可以負責的事情。 考慮到2014年版本中大多數(shù)“可能”實例已更新為“可以”，這一點很明顯。 盡管文檔中有許多示例，但附件A中的一個此類實例發(fā)生在《使用密碼控制政策》的公共云PII實施指南（A.10.1.1）中，其中指出：“公共云PII處理器應提供信息。向云服務客戶提供有關使用加密技術保護其處理的PII的情況的信息。 公共云PII處理器還應向云服務客戶提供有關其提供的任何可以幫助云服務客戶應用其自己的密碼保護功能的信息。

3）在用于PII保護的公共云處理器擴展控制集（以前稱為A1 – A11）的開頭添加了“常規(guī)”背景部分。

盡管在本節(jié)中未規(guī)定任何新的控件，但從技術上來說，添加“常規(guī)”節(jié)將構成其自己的節(jié)，從而將控件集擴展到A1至A12。 隱私原則（即同意和選擇，目的合法性和規(guī)范等）保持不變，并且基本控制總體保持不變，除了上面第2節(jié)中提到的原則外，沒有任何重大更新。 ISO27018 的上一版在技術上已包括了“常規(guī)”部分的確切說明，但未標識為其單獨的部分，此處包括了相關說明：和ISO/IEC 27002中的指南（請參閱第5至18條），構成了擴展的控件集，以滿足對PII保護的要求，這些要求適用于充當PII處理器的公共云服務提供商。 這些附加控件根據(jù)ISO/IEC 29100的11隱私原則進行分類。在許多情況下，控件可以根據(jù)一種以上的隱私原則進行分類。 在這種情況下，它們將根據(jù)最相關的原則進行分類。”

如果您代表的組織已通過ISMS并通過了ISO 27018：2014所規(guī)定的控制措施而獲得了ISO 27001認證，則以上信息應可緩解任何有關需要立即進行徹底更改的擔憂。

中企檢測認證網(wǎng)提供iso體系認證機構查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權、版權法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網(wǎng)絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權登記、專利申請、知識產(chǎn)權、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權、版權、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡信息整理，文章版權歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202008/ccaa_5614.html