國際標(biāo)準(zhǔn)化組織（ISO）已發(fā)布了ISO27018 的第二版：ISO/IEC 27018:2019，該指南是針對處理個(gè)人身份信息（PII）的云服務(wù)提供商的指南，該指南最初于2014年發(fā)布。

眾所周知，信息技術(shù)世界和保護(hù)個(gè)人身份信息是一個(gè)不斷發(fā)展的問題。 我們在這里討論了ISO/IEC 27018:2019與其他關(guān)鍵法規(guī)（例如GDPR）之間的相互作用。

現(xiàn)在，有了ISO提出的這一新指南ISO/IEC 27018:2019，就引出了一個(gè)問題：這是主要變化還是次要變化？

簡短的答案嵌入在第2節(jié)的序言中：“第二版取消并替代了第一版（ISO/IEC 27018:2014），該第一版構(gòu)成較小的修訂。 與上一版相比，主要變化是對附件A中編輯錯(cuò)誤的更正。”

這意味著，對于大多數(shù)意圖和目的，ISO/IEC 27018:2019中規(guī)定的指南在很大程度上保持不變，但有一些警告。 注意：

1）任何對ISO/IEC 27018:2019作為國際標(biāo)準(zhǔn)的引用均已修改，以反映它現(xiàn)在是“文檔”。

這源于技術(shù)性，即ISO/IEC 27018:2019并非組織可以依據(jù)的標(biāo)準(zhǔn)，而是控制和指南的附加子集，可以增強(qiáng)組織現(xiàn)有的信息安全管理系統(tǒng)，而該系統(tǒng)也將通過ISO 27001（信息安全）進(jìn)行認(rèn)證。管理體系標(biāo)準(zhǔn)。

2）對某些輔助動(dòng)詞進(jìn)行次要更新，以更恰當(dāng)?shù)貪M足不同行業(yè)組織的獨(dú)特需求。

這并不反映對ISO/IEC 27018:2019控件的目的和宗旨的任何徹底改變，而似乎只是ISO方面的一種嘗試，目的是更簡單地介紹組織可以負(fù)責(zé)的事情。 考慮到2014年版本中大多數(shù)“可能”實(shí)例已更新為“可以”，這一點(diǎn)很明顯。 盡管文檔中有許多示例，但附件A中的一個(gè)此類實(shí)例發(fā)生在《使用密碼控制政策》的公共云PII實(shí)施指南（A.10.1.1）中，其中指出：“公共云PII處理器應(yīng)提供信息。向云服務(wù)客戶提供有關(guān)使用加密技術(shù)保護(hù)其處理的PII的情況的信息。 公共云PII處理器還應(yīng)向云服務(wù)客戶提供有關(guān)其提供的任何可以幫助云服務(wù)客戶應(yīng)用其自己的密碼保護(hù)功能的信息。

3）在用于PII保護(hù)的公共云處理器擴(kuò)展控制集（以前稱為A1 – A11）的開頭添加了“常規(guī)”背景部分。

盡管在本節(jié)中未規(guī)定任何新的控件，但從技術(shù)上來說，添加“常規(guī)”節(jié)將構(gòu)成其自己的節(jié)，從而將控件集擴(kuò)展到A1至A12。 隱私原則（即同意和選擇，目的合法性和規(guī)范等）保持不變，并且基本控制總體保持不變，除了上面第2節(jié)中提到的原則外，沒有任何重大更新。 ISO27018 的上一版在技術(shù)上已包括了“常規(guī)”部分的確切說明，但未標(biāo)識為其單獨(dú)的部分，此處包括了相關(guān)說明：和ISO/IEC 27002中的指南（請參閱第5至18條），構(gòu)成了擴(kuò)展的控件集，以滿足對PII保護(hù)的要求，這些要求適用于充當(dāng)PII處理器的公共云服務(wù)提供商。 這些附加控件根據(jù)ISO/IEC 29100的11隱私原則進(jìn)行分類。在許多情況下，控件可以根據(jù)一種以上的隱私原則進(jìn)行分類。 在這種情況下，它們將根據(jù)最相關(guān)的原則進(jìn)行分類。”

如果您代表的組織已通過ISMS并通過了ISO 27018：2014所規(guī)定的控制措施而獲得了ISO 27001認(rèn)證，則以上信息應(yīng)可緩解任何有關(guān)需要立即進(jìn)行徹底更改的擔(dān)憂。

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.rumin8raps.com/zs/202008/ccaa_5614.html