ISO27018-信息技術(shù)-安全技術(shù)-作為PII處理者的公有云中保護個人可識別信息PII的操作規(guī)范

1、信息技術(shù)-安全技術(shù)-作為PII處理者的公有云中保護個人可識別信息（PII）的操作規(guī)范0簡介0.1背景和背景根據(jù)合同處理其客戶的個人身份信息（PII）的云服務提供商必須以允許雙方滿足保護PII的適用法律和法規(guī)要求的方式運營其服務。云服務提供商與其客戶之間劃分要求的方式和方式因法律管轄權(quán)以及云服務提供商與客戶之間的合同條款而異。管理PII如何被處理（即收集，使用，轉(zhuǎn)讓和處置）的立法有時被稱為數(shù)據(jù)保護立法；PII有時被稱為個人數(shù)據(jù)或個人信息。PII處理者的義務因管轄區(qū)而異，這使得提供云計算服務的企業(yè)在跨國運營方面面臨挑戰(zhàn)。公有云服務提供商在根據(jù)云服務租戶的指示處理PII時是“PI處理者”。與公有云P

2、II處理者具有合同關(guān)系的云服務租戶可以是自然人，“P曲體”，在云中處理他或她自己的PII,到組織，“PII控制者”，處理與許多PII原則有關(guān)的PII。云服務租戶可以授權(quán)與其關(guān)聯(lián)的一個或多個云服務用戶根據(jù)其與公有云PII處理者的合同使用可用的服務。請注意，云服務租戶擁有處理和使用數(shù)據(jù)的權(quán)限。同時也是PII控制者的云服務租戶可能受到比公有云PII處理者更廣泛的管理PII保護的義務。保持PII控制者和PII處理者之間的區(qū)別依賴于公有云PII處理者，該處理者不具有除云服務租戶針對其處理的PII設(shè)置的數(shù)據(jù)處理目標以及實現(xiàn)云服務租戶目標所必需的操作之外的數(shù)據(jù)處理目標。注意如果公有云PII處理者正在處理云服

3、務租戶帳戶數(shù)據(jù)，則可能是為此目的充當PII控制者。本國際標準不包括此類活動。當與ISO/IEC27002中的信息安全目標和控制結(jié)合使用時，本國際標準的目的是創(chuàng)建一組通用的安全類別和控制，可由作為PII的公有云計算服務提供商實施。處理者。它有以下目標。- 為了幫助公有云服務提供商在充當PII處理者時遵守適用的義務，這些義務是直接還是通過合同落在PII處理者上。- 使公有云PII處理者在相關(guān)事務上保持透明，以便云服務租戶可以選擇管理良好的基于云的PII處理服務。- 協(xié)助云服務租戶和公有云PII處理者簽訂合同協(xié)議。- 為云服務租戶提供執(zhí)行審計和合規(guī)權(quán)利和責任的機制，以便在多方，虛擬化服務器（云）環(huán)境

4、中托管的數(shù)據(jù)的單個云服務租戶審計在技術(shù)上可能不切實際并且可能增加那些風險物理和邏輯網(wǎng)絡(luò)安全控制到位。本國際標準并未取代適用的法律法規(guī)，但可以為公有云服務提供商提供通用的合規(guī)框架，特別是那些在跨國市場運營的公有云服務提供商。0.2PII保護控制公有云計算服務本國際標準旨在供組織在實施基于ISO/IEC27001的云計算信息安全管理系統(tǒng)的過程中選擇PII保護控制，或作為實施組織普遍接受的PII保護控制的指導文件。充當公有云PII處理者。特別是，該國際標準基于ISO/IEC27002,考慮了那些可能適用于作為PII處理者的公有云計算服務提供商的PII保護要求所產(chǎn)生的特定風險環(huán)境。通常，實施ISO/I

5、EC27001的組織正在保護自己的信息資產(chǎn)。但是，在作為PII處理者的公有云服務提供商的PII保護要求的背景下，組織正在保護其客戶委托給它的信息資產(chǎn)。公有云PII處理者實現(xiàn)ISO/IEC27002的控制既適用于此目的也是必要的。本國際標準增強了ISO/IEC27002控制，以適應風險的分布式性質(zhì)以及云服務租戶與公有云PII處理者之間存在的合同關(guān)系。本國際標準以兩種方式增強了ISO/IEC27002:-為某些現(xiàn)有的ISO/IEC27002控制提供適用于公有云PII保護的實施指南，以及-附件A提供了一組附加控制和相關(guān)指南，旨在解決現(xiàn)有ISO/IEC27002控制集未解決的公有云PII保護要求。本國

6、際標準中的大多數(shù)控制和指導也適用于PII控制者。但是，在大多數(shù)情況下，PII控制者將承擔此處未指定的其他義務。0.3PII保護要求組織必須確定其保護PII的要求。有三個主要的要求來源，如下所示。a）法律，法定，監(jiān)管和合同要求：一個來源是組織，其貿(mào)易伙伴，承包商和服務提供商必須滿足的法律，法定，監(jiān)管和合同要求和義務，以及他們的社會文化責任和運營環(huán)境。應該指出的是，PII處理者制定的立法，法規(guī)和合同承諾可能要求選擇特定的控制措施，也可能需要實施這些控制措施的具體標準。這些要求因司法管轄區(qū)而異。b）風險：另一個來源是評估與PII相關(guān)的組織的風險，同時考慮到組織的整體業(yè)務戰(zhàn)略和目標。通過風險評估，確定

7、威脅，評估發(fā)生的脆弱性和可能性，并估計潛在影響。ISO/IEC27005提供信息安全風險管理指導，包括風險評估，風險接受，風險溝通，風險監(jiān)控和風險評估方面的建議。ISO/IEC29134提供有關(guān)隱私影響評估的指導。c）公司政策：雖然公司政策涵蓋的許多方面來自法律和社會文化義務，但組織也可以自愿選擇超出a）要求的標準。0.4在云計算環(huán)境中選擇和實施控件可以從該國際標準中選擇控制（其中包括參考ISO/IEC27002的控制，為范圍定義的扇區(qū)或應用創(chuàng)建組合參考控制集）。如果需要，還可以從其他控制集中選擇控件，或者可以設(shè)計新控件以滿足特定需求。注：公有云PII處理者提供的PII處理服務可以被視為云計算

8、的應用，而不是其本身的扇區(qū)。盡管如此，本國際標準中使用的術(shù)語“特定于行業(yè)”，因為這是ISO/IEC27000系列中其他標準中使用的常規(guī)術(shù)語?？刂频倪x擇取決于基于風險接受標準，風險處理選項以及適用于組織的一般風險管理方法的組織決策，以及通過合同協(xié)議，其客戶和供應商，并且還將受到所有相關(guān)國家和國際立法和法規(guī)。如果沒有選擇本國際標準的控制措施，則需要記錄這一點，并說明遺漏的理由。此外，控制的選擇和實施取決于公有云提供商在整個云計算參考架構(gòu)的上下文中的實際角色（參見ISO/IEC17789）。許多不同的組織可以參與在云計算環(huán)境中提供基礎(chǔ)設(shè)施和應用服務。在某些情況下，所選擇的控件對于云計算參考架構(gòu)的特定

9、服務類別可以是唯一的。在其他情況下，實現(xiàn)安全控制可以有共享角色。合同協(xié)議需要明確規(guī)定參與提供或使用云服務的所有組織的PII保護責任，包括公有云PII處理者，其分包商和云服務租戶。本國際標準中的控制可被視為指導原則，適用于大多數(shù)組織。下面將更詳細地解釋它們以及實施指南。如果在公有云PII處理者的信息系統(tǒng)，服務和操作的設(shè)計中考慮了保護PII的要求，則可以使實施更簡單。這種考慮是概念的一個要素，通常被稱為“設(shè)計隱私”。參考書目列出了相關(guān)文件，如ISO/IEC291010.5制定其他準則本國際標準可視為制定PII保護指南的起點?？赡懿⒎潜静僮饕?guī)范中的所有控制和指導都適用。此外，可能還需要未包含在本國際

10、標準中的其他控制和指南。當開發(fā)包含附加指南或控制的文檔時，在適用的本國際標準中包含對條款的交叉引用可能是有用的，以便于審計員和業(yè)務合作伙伴進行合規(guī)性檢查。0.6生命周期考慮因素PII具有自然的生命周期，從創(chuàng)造和起源到儲存，加工，使用和傳播，再到最終的銷毀。PII的風險在其生命周期中可能有所不同，但PII的保護在所有階段在某種程度上仍然很重要。當現(xiàn)有和新的信息系統(tǒng)在其生命周期中進行管理時，需要考慮PII保護要求。1范圍本國際標準根據(jù)ISO/IEC29100中針對公有云計算環(huán)境的隱私原則，建立了普遍接受的控制目標，控制和指導，以實施保護個人身份信息（PII）的措施。特別是，本國際標準規(guī)定了基于IS

11、O/IEC27002的指南，其中考慮了可能適用于公有云服務提供商的信息安全風險環(huán)境的PII保護的監(jiān)管要求。本國際標準適用于所有類型和規(guī)模的組織，包括公共和私營公司，政府實體和非營利組織，它們通過與其他組織簽訂合同的云計算提供作為PII處理者的信息處理服務。本國際標準中的指南也可能與作為PII控制者的組織相關(guān)；但是，PII控制者可能會受到額外的PII保護法規(guī)，法規(guī)和義務的約束，而不適用于PII處理者。本國際標準無意涵蓋此類額外義務。2規(guī)范性參考文獻以下文件的全部或部分內(nèi)容在本文件中作了規(guī)范性引用，并且對于其應用是必不可少的。凡是注日期的引用文件，僅引用的版本適用。凡是不注日期的引用文件，其最新版

12、本(包括所有的修改單)適用于本標準。ISO/IEC17788|建議ITU-TY.3500，信息技術(shù)-云計算-概述和詞匯1)ISO/IEC270002014,信息技術(shù)安全技術(shù)-信息安全管理系統(tǒng)-概述和詞匯ISO/IEC270012013，信息技術(shù)-安全技術(shù)-信息安全管理系統(tǒng)-要求ISO/IEC270022013，信息技術(shù)安全技術(shù)-信息安全控制的操作規(guī)范ISO/IEC29100:2011,信息技術(shù)-安全技術(shù)-隱私框架3術(shù)語和定義出于本文檔的目的，ISO/IEC17788,ISO/IEC27000和以下內(nèi)容中給出的術(shù)語和定義適用。3.1 數(shù)據(jù)泄露危害安全導致意外或非法破壞，丟失，篡改，未經(jīng)授權(quán)披露或

13、訪問傳輸，存儲或以其他方式處理的受保護數(shù)據(jù)來源：ISO/IEC27040:-2),3.73.2 個人身份信息PII任何可用于識別與此信息相關(guān)的PII主體的信息，或者是或可能與PII主體直接或間接相關(guān)的信息注1:為了確定PII主體是否可識別，應考慮所有可以由持有數(shù)據(jù)的隱私權(quán)利人或任何其他方合理使用的方法來識別該自然人。來源：ISO/IEC29100:2011,2.9注2:該定義用于定義本國際標準中使用的術(shù)語PII。公有云PII處理者通常無法明確了解其處理的信息是否屬于任何指定類別，除非云服務租戶將其透明化。3.3 PII控制者隱私利益相關(guān)者是決定處理個人身份信息（PII）的目的和方法的人，而不是

14、將數(shù)據(jù)用于個人目的的自然人注1:PII控制者有時會指示其他人（例如PII處理者）代表其處理PII,而處理的責任仍由PII控制者負責。來源：ISO/IEC29100:2011,2.103.4 PII主體與個人身份信息（PII）相關(guān)的自然人注1：根據(jù)管轄區(qū)域和特定的PII保護和隱私法規(guī)，也可以使用同義詞“數(shù)據(jù)主體”代替術(shù)語“PI本體”。來源：ISO/IEC29100:2011,2.113.5 PII處理者隱私利益相關(guān)方代表并按照PII控制人員的指示處理個人身份信息（PII）來源：ISO/IEC29100:2011,2.123.6 PII的處理對個人身份信息（PII）執(zhí)行的操作或一組操作注1:PII

15、的處理操作的示例包括但不限于PII的收集，存儲，更改，檢索，咨詢，公開，匿名化，假名化，傳播或以其他方式提供，刪除或銷毀。來源：ISO/IEC29100:2011,2.233.7 公有云服務提供商根據(jù)公有云模型提供云服務的一方4概述4.1本標準的結(jié)構(gòu)該國際標準具有與ISO/IEC27002類似的結(jié)構(gòu)。如果ISO/IEC27002中規(guī)定的目標和控制適用而無需任何其他信息，則僅提供ISO/IEC27002的參考。附件A（規(guī)范性）中描述了適用于云計算服務提供商PII保護的相關(guān)實施指南。如果控制需要適用于云計算服務提供商的PII保護的其他指導，則在公有云PII保護實施指南標題下給出。在某些情況下，在“

16、公有云PII保護的其他信息”標題下提供了增強附加指南的更多相關(guān)信息。如表1所示，此類行業(yè)專用指南和信息包含在ISO/IEC27002中定義的類別中。與ISO/IEC27002中相應的條款編號一致的條款編號如表中所示。ISO/IEC27002中實施控制的行業(yè)指南和其他信息的位置條款編號標題備注5信息安全政策提供了針對特定行業(yè)的實施指南和其他信息。6組織信息安全提供了針對特定行業(yè)的實施指南。7人力資源安全提供了針對特定行業(yè)的實施指南和其他信息。8資產(chǎn)管理沒有提供額外的部門特定實施指南或其他信息。9訪問控制提供了針對特定行業(yè)的實施指南，以及對附件A中控制的交叉引用。10加密提供了針對特定行業(yè)的實施指

17、南。11物理和環(huán)境安全提供了針對特定行業(yè)的實施指南，以及對附件A中控制的交叉引用。12運營安全提供了針對特定行業(yè)的實施指南。13通信安全提供了針對特定行業(yè)的實施指南，以及對附件A中控制的交叉引用。14系統(tǒng)的狄取，開發(fā)和維護沒有提供額外的部門特定實施指南或其他信息。15供應商關(guān)系沒有提供額外的部門特定實施指南或其他信息。16信息安全事件管理提供了針對特定行業(yè)的實施指南。17業(yè)務連續(xù)性管理的信息安全力卸沒有提供額外的部門特定實施指南或其他信息。18合規(guī)提供了針對特定行業(yè)的實施指南，以及對附件A中控制的交叉引用。4.2控制類別根據(jù)ISO/IEC27002,每個主要控制類別包含：a）控制目標，說明要實

18、現(xiàn)的目標b）可用于實現(xiàn)控制目標的一個或多個控制?？刂泼枋龅慕Y(jié)構(gòu)如下：控制定義特定控制語句以滿足控制目標。公有云PII保護實施指南提供更詳細的信息以支持控制的實施和滿足控制目標。在所有情況下，指南可能不完全適合或不充分，并且可能無法滿足組織的特定控制要求。因此，替代或額外控制或其他形式的風險處理（避免，轉(zhuǎn)移或接受風險）可能是適當?shù)?。有關(guān)公有云PII保護的其他信息提供可能需要考慮的進一步信息，例如法律考慮因素和對其他標準的引用。5信息安全政策5.1 信息安全管理方向ISO/IEC27002:2013,5.1中規(guī)定的目標適用。5.1.1 信息安全政策ISO/IEC27002中規(guī)定的控制5.1.1、相

19、關(guān)實施指南和其他信息適用。以下行業(yè)特定指南也適公有云PII保護實施指南信息安全政策應通過有關(guān)支持和承諾遵守適用的PII保護法規(guī)以及公有云PII處理者與其客戶（云服務租戶cloudservicecustomer）之間達成的合同條款的聲明來加強。合同協(xié)議應明確分配公有云PII處理者，其分包商和云服務租戶之間的職責，同時考慮所涉及的云服務的類型（例如，云計算參考的IaaS,PaaS或SaaS類別的服務）。例如，應用層控制的責任分配可能會有所不同，具體取決于公有云PII處理者是提供SaaS服務還是提供PaaS或IaaS服務，云服務租戶可以在其上構(gòu)建或分層自己的應用程序。有關(guān)公有云PII保護的其他信息在

20、某些司法管轄區(qū)，公有云PII處理者直接受PII保護法規(guī)的約束。在其他地方，PII保護立法僅適用于PII控制者。云服務租戶和公有云PII處理者之間的合同提供了一種確保公有云PII處理者有義務支持和管理合規(guī)性的機制。合同可以要求獨立審計的合規(guī)性，可以被云服務租戶接受，例如，通過實施本國際標準和ISO/IEC27002中的相關(guān)控制。5.1.2 審查信息安全政策ISO/IEC27002中規(guī)定的控制5.1.2及相關(guān)實施指南適用。6組織信息安全6.1 內(nèi)部組織ISO/IEC27002:2013,6.1中規(guī)定的目標適用。6.1.1 信息安全角色和職責以下行業(yè)特定指ISO/IEC27002中規(guī)定的控制6.1.

21、1、相關(guān)實施指南和其他信息適用。南也適用。公有云PII保護實施指南公有云PII處理者應指定一個聯(lián)絡(luò)點，供云服務租戶根據(jù)合同處理PII6.1.2 職責分離ISO/IEC27002中規(guī)定的控制6.1.3 與當局聯(lián)系ISO/IEC27002中規(guī)定的控制6.1.4 與特殊利益集團聯(lián)系ISO/IEC27002中規(guī)定的控制6.1.5 項目管理中的信息安全ISO/IEC27002中規(guī)定的控制6.1.6 、相關(guān)實施指南和其他信息適用。6.1.7 、相關(guān)實施指南和其他信息適用。6.1.8 、相關(guān)實施指南和其他信息適用。6.1.9 、相關(guān)實施指南和其他信息適用。6.2 移動設(shè)備和遠程辦公適用ISO/IEC2700

22、2:2013,6.2中規(guī)定的目標和內(nèi)容。7人力資源安全7.1 就業(yè)前適用ISO/IEC27002:2013,7.1中規(guī)定的目標和內(nèi)容。7.2 就業(yè)期間ISO/IEC27002:2013,77中規(guī)定的目標適用。7.2.1 管理職責ISO/IEC27002中規(guī)定的控制7.2.1、相關(guān)實施指南和其他信息適用。7.2.2 信息安全意識，教育和培訓ISO/IEC27002中規(guī)定的控制7.2.2、相關(guān)實施指南和其他信息適用。以下行業(yè)特定指南也適用。公有云PII保護實施指南應采取措施，使相關(guān)工作人員了解公有云PII處理者（例如法律后果，業(yè)務損失和品牌或聲譽損害），工作人員（例如紀律后果）和PII負責人（例如

23、，物質(zhì)的和情感后果）違反隱私或安全規(guī)則和程序，尤其是那些涉及PII處理的規(guī)則和程序可能產(chǎn)生的后果。有關(guān)公有云PII保護的其他信息在某些司法管轄區(qū)，公有云PII處理者可能會受到法律制裁，包括直接從當?shù)豍II保護機構(gòu)處以巨額罰款。在其他司法管轄區(qū)，在建立公有云PII處理者和云服務租戶之間的合同時使用此類國際標準有助于為違反安全規(guī)則和程序的合同制裁奠定基礎(chǔ)。7.2.3 紀律程序ISO/IEC27002中規(guī)定的控制7.2.3、相關(guān)實施指南和其他信息適用。7.3 終止和改變就業(yè)ISO/IEC27002:2013,7.3中規(guī)定的目標和內(nèi)容適用。8資產(chǎn)管理適用ISO/IEC27002:2013第8章中規(guī)定的

24、目標和內(nèi)容。9訪問控制9.1 訪問控制的業(yè)務要求適用ISO/IEC27002:2013,9.1中規(guī)定的目標和內(nèi)容。9.2 用戶訪問管理ISO/IEC27002:2013,99中規(guī)定的目標適用。以下針對特定行業(yè)的指南也適用于本子條款（9.2）下所有控制措施的實施。公有云PII保護實施指南在云計算參考架構(gòu)的服務類別的上下文中，云服務租戶可以負責其控制下的云服務用戶PII處理者應該允許云服務租戶的訪問管理的部分或全部方面。在適當?shù)那闆r下，公有云(cloudservicecustomers)能夠管理其控制下的云服務用戶(cloudserviceusers)的訪問，例如通過提供管理或終止訪問的管理權(quán)限。

25、9.2.1 用戶注冊和注銷ISO/IEC27002中規(guī)定的控制9.2.1、相關(guān)實施指南和其他信息適用。以下行業(yè)特定指南也適用。公有云PII保護實施指南用戶注冊和注銷的程序應能夠處理用戶訪問控制受到損害的情況，例如密碼或其他用戶注冊數(shù)據(jù)的損壞或損害(例如，由于無意泄露)。注：個別司法管轄區(qū)可能會對未使用的身份驗證憑據(jù)的檢查頻率施加特定要求。在這些司法管轄區(qū)運營的組織應確保其符合這些要求。9.2.2 用戶訪問配置ISO/IEC27002中規(guī)定的控制9.2.2、相關(guān)實施指南和其他信息適用。9.2.3 特權(quán)訪問權(quán)限的管理ISO/IEC27002中規(guī)定的控制9.2.3、相關(guān)實施指南和其他信息適用。9.2

26、.4 管理用戶的秘密認證信息ISO/IEC27002中規(guī)定的控制9.2.4、相關(guān)實施指南和其他信息適用。9.2.5 審核用戶訪問權(quán)限ISO/IEC27002中規(guī)定的控制9.2.5、相關(guān)實施指南和其他信息適用。9.2.6 刪除或調(diào)整訪問權(quán)限ISO/IEC27002中規(guī)定的控制9.2.6、相關(guān)實施指南和其他信息適用。9.3 用戶責任ISO/IEC27002:2013,99中規(guī)定的目標適用。9.3.1 使用秘密認證信息ISO/IEC27002中規(guī)定的控制9.3.1及相關(guān)實施指南適用。9.4 系統(tǒng)和應用程序訪問控制ISO/IEC27002:2013,94中規(guī)定的目標適用。9.4.1 信息訪問限制ISO

27、/IEC27002中規(guī)定的控制9.4.1及相關(guān)實施指南適用。注：有關(guān)信息訪問限制的附加控制和指南可在A.10.13中找到。9.4.2 安全登錄程序ISO/IEC27002中規(guī)定的控制9.4.2、相關(guān)實施指南和其他信息適用。以下行業(yè)特定指南也適用。公有云PII保護實施指南如果需要，公有云PII處理者應提供安全登錄過程給云服務租戶為其控制下的云服務用戶請求的任何帳戶。9.4.3 密碼管理系統(tǒng)ISO/IEC27002中規(guī)定的控制9.4.3、相關(guān)實施指南和其他信息適用。9.4.4 使用特權(quán)實用程序ISO/IEC27002中規(guī)定的控制9.4.4、相關(guān)實施指南和其他信息適用。9.4.5 程序源代碼的訪問控

28、制ISO/IEC27002中規(guī)定的控制9.4.5、相關(guān)實施指南和其他信息適用。10密碼學10.1 加密控件ISO/IEC27002:2013,10.1中規(guī)定的目標適用。10.1.1 使用加密控制的政策ISO/IEC27002中規(guī)定的控制10.1.1、相關(guān)實施指南和其他信息適用。以下行業(yè)特定指南也適用。公有云PII保護實施指南公有云PII處理者應向云服務租戶提供有關(guān)其使用加密技術(shù)來保護其處理的PII的情況的信息。公有云PII處理者還應向云服務租戶提供信息，說明其所能提供的可以幫助云服務租戶應用加密保護的所有功能。注：在某些司法管轄區(qū)，可能需要應用加密技術(shù)來保護特定類型的PII,例如有關(guān)PII主體

29、的健康數(shù)據(jù)，居民注冊號，護照號和駕駛執(zhí)照號。10.1.2 密鑰管理ISO/IEC27002中規(guī)定的控制10.1.2、相關(guān)實施指南和其他信息適用。11物理和環(huán)境安全11.1 安全區(qū)域ISO/IEC27002:2013,11.1中規(guī)定的目標和內(nèi)容適用。11.2 設(shè)備ISO/IEC27002:2013,11.2中規(guī)定的目標適用。11.2.1 設(shè)備選址和保護ISO/IEC27002中規(guī)定的控制11.2.1及相關(guān)實施指南適用。11.2.2 支持公用事業(yè)ISO/IEC27002中規(guī)定的控制11.2.2、相關(guān)實施指南和其他信息適用。11.2.3 布線安全性ISO/IEC27002中規(guī)定的控制11.2.3及相

30、關(guān)實施指南適用。11.2.4 設(shè)備維護ISO/IEC27002中規(guī)定的控制11.2.4及相關(guān)實施指南適用。11.2.5 資產(chǎn)的清除ISO/IEC27002中規(guī)定的控制11.2.5、相關(guān)實施指南和其他信息適用。11.2.6 場外設(shè)備和資產(chǎn)的安全ISO/IEC27002中規(guī)定的控制11.2.6、相關(guān)實施指南和其他信息適用。11.2.7 安全處置或重復使用設(shè)備ISO/IEC27002中規(guī)定的控制11.2.7、相關(guān)實施指南和其他信息適用。以下行業(yè)特定指南也適用。公有云PII保護實施指南PII信息的存儲介質(zhì)應該與確實含有出于安全處置或重復使用的目的，針對可能含有PII信息的存儲介質(zhì)一樣處理。A.10.1

31、3。注：有關(guān)安全處置或重復使用設(shè)備的附加控制和指南，請參見11.2.8 無人值守的用戶設(shè)備ISO/IEC27002中規(guī)定的控制11.2.8及相關(guān)實施指南適用。11.2.9 清除桌面和清除屏幕策略ISO/IEC27002中規(guī)定的控制11.2.9、相關(guān)實施指南和其他信息適用。12運營安全12.1操作程序和責任ISO/IEC27002:2013,12.1中規(guī)定的目標適用。12.1.1記錄的操作程序ISO/IEC27002中規(guī)定的控制12.1.1及相關(guān)實施指南適用。12.1.2變更管理ISO/IEC27002中規(guī)定的控制12.1.2、相關(guān)實施指南和其他信息適用。12.1.3容量管理ISO/IEC270

32、02中規(guī)定的控制12.1.3、相關(guān)實施指南和其他信息適用。12.1.4開發(fā)，測試和操作環(huán)境的分離ISO/IEC27002中規(guī)定的控制12.1.4、相關(guān)實施指南和其他信息適用。以下行業(yè)特定指南也適用。公有云PII保護實施指南如果無法避免將PII用于測試目的，則應進行風險評估。應實施技術(shù)和組織措施，以盡量減少所識別的風險。12.2 防范惡意軟件適用ISO/IEC27002:2013,12.2中規(guī)定的目標和內(nèi)容。12.3 備份ISO/IEC27002:2013,12.3中規(guī)定的目標適用。12.3.1 信息備份ISO/IEC27002中規(guī)定的控制12.3.1、相關(guān)實施指南和其他信息適用。以下行業(yè)特定指

33、南也適用。公有云PII保護實施指南基于云計算模型的信息處理系統(tǒng)為場外備份引入了附加或替代機制，以防止數(shù)據(jù)丟失，確保數(shù)據(jù)處理操作的連續(xù)性，并提供在破壞性事件之后恢復數(shù)據(jù)處理操作的能力。為了備份和/或恢復的目的，應該創(chuàng)建或維護物理和/或邏輯上不同的位置（可以在信息處理系統(tǒng)本身內(nèi)）的多個數(shù)據(jù)副本。PII處理者明確向云服務租在這方面，PII特定的職責可能在于云服務租戶。在公有云戶提供備份和恢復服務的情況下，公有云PII處理者應向云服務租戶提供關(guān)于云服務租戶數(shù)據(jù)備份和恢復的能力的明確信息。注1:各個司法管轄區(qū)可能對備份頻率施加特定要求。在這些司法管轄區(qū)運營的組織應確保其符合這些要求。應制定程序，以便在中

34、斷事件發(fā)生后的指定的、有記錄的時間段內(nèi)恢復數(shù)據(jù)處理操作。應按指定的記錄頻率審查備份和恢復程序。注2:個別司法管轄區(qū)可能對備份和恢復程序的審查頻率提出具體要求。在這些司法管轄區(qū)運營的組織應確保其符合這些要求。使用分包商來存儲正在處理的數(shù)據(jù)的復制或備份副本，本國際標準中的控制適用于分包的PII處理。在進行物理媒體傳輸?shù)牡胤?，本國際標準中的控制也涵蓋了相關(guān)控制要求。公有云PII處理者應具有滿足信息備份要求的政策以及為備份目的而保留的信息中包含的PII的擦除的任何進一步要求（例如合同和/或法律要求）。12.4 記錄和監(jiān)控ISO/IEC27002:2013,12.4中規(guī)定的目標適用。12.4.1 事件記

35、錄ISO/IEC27002中規(guī)定的控制12.4.1、相關(guān)實施指南和其他信息適用。以下行業(yè)特定指南也適用。公有云PII保護實施指南應該建立一個流程來審查具有指定的，記錄的周期性的事件日志，以識別違規(guī)行為并提出補救措施。在可能的情況下，事件日志應記錄PII是否由于事件被更改和由誰更改（添加，修改或刪除）。在多個服務提供商參與從云計算參考架構(gòu)的不同服務類別提供服務的情況下，在實現(xiàn)該指南時可能存在各種或共同的角色。公有云PII處理者應定義關(guān)于是否，何時以及如何使云服務租戶可以訪問或可以使用日志信息的標準。應該向云服務租戶提供這些過程。如果允許云服務租戶訪問由公有云PII處理者控制的日志記錄，則公有云P

36、II處理者應確保云服務租戶只能訪問與該云服務租戶的活動相關(guān)的記錄，并且不能訪問任何與其他云服務租戶活動有關(guān)的日志記錄。12.4.2 保護日志信息ISO/IEC27002中規(guī)定的控制12.4.2、相關(guān)實施指南和其他信息適用。以下行業(yè)特定指南也適用。公有云PII保護具體實施指導為安全監(jiān)控和操作診斷等目的而記錄的日志信息可能包含PII。應該采取措施，例如控制訪問（見9.2.3）,以確保記錄的信息僅用于其預期目的。應建立一個程序，最好是自動程序，以確保在指定和記錄的時間段內(nèi)刪除記錄的信息。12.4.3 管理員和操作員日志ISO/IEC27002中規(guī)定的控制12.4.3、相關(guān)實施指南和其他信息適用。12

37、.4.4 時鐘同步ISO/IEC27002中規(guī)定的控制12.4.4、相關(guān)實施指南和其他信息適用。12.5 操作軟件的控制適用ISO/IEC27002:2013,12.5中規(guī)定的目標和內(nèi)容。12.6 技術(shù)漏洞管理中規(guī)定的目標和內(nèi)容適用。ISO/IEC27002:2013,12.612.7 信息系統(tǒng)審計考慮因素ISO/IEC27002:2013,12.7中規(guī)定的目標和內(nèi)容適用。13通信安全13.1 網(wǎng)絡(luò)安全管理ISO/IEC27002:2013,13.1中規(guī)定的目標和內(nèi)容適用。13.2 信息傳遞ISO/IEC27002:2013,13.2中規(guī)定的目標適用。13.2.1 信息傳輸政策和程序ISO/I

38、EC27002中規(guī)定的控制13.2.1、相關(guān)實施指南和其他信息適用。以下行業(yè)特定指南也適用。公有云PII保護實施指南無論何時使用物理介質(zhì)進行信息傳輸，都應建立一個系統(tǒng)來記錄包含PII的傳入和傳出物理介質(zhì)，包括物理介質(zhì)的類型，授權(quán)的發(fā)件人/收件人，日期和時間以及物理介質(zhì)的數(shù)量。在可能的情況下，應要求云服務租戶采取其他措施（例如加密），以確保只能在目的地而非途中訪問數(shù)據(jù)。13.2.2 信息傳遞協(xié)議ISO/IEC27002中規(guī)定的控制13.2.2、相關(guān)實施指南和其他信息適用。13.2.3 電子信息ISO/IEC27002中規(guī)定的控制13.2.3、相關(guān)實施指南和其他信息適用。13.2.4 保密或不披露

39、協(xié)議ISO/IEC27002中規(guī)定的控制13.2.4、相關(guān)實施指南和其他信息適用。注：有關(guān)保密或保密協(xié)議的其他控制和指導可在A.10.1中找到。14系統(tǒng)采購，開發(fā)和維護適用ISO/IEC27002:2013第14章中規(guī)定的目標和內(nèi)容。15供應商關(guān)系適用ISO/IEC27002:2013第15章中規(guī)定的目標和內(nèi)容。注：有關(guān)供應商關(guān)系管理的更多信息可從ISO/IEC270364獲得。16信息安全事件管理16.1 信息安全事件和改進的管理ISO/IEC27002:2013,16.1中規(guī)定的目標適用。以下行業(yè)特定指南也適用于本款（16.1）下所有控制措施的實施。公有云PII保護實施指南在整個云計算參考

40、架構(gòu)的背景下，在信息安全事件的管理和改進中可能存在共享角色?？赡苄枰性芇II處理者與云服務租戶合作以實現(xiàn)本子條款中的控制。16.1.1 責任和程序ISO/IEC27002中規(guī)定的控制16.1.1、相關(guān)實施指南和其他信息適用。以下行業(yè)特定指南也適用。公有云PII保護實施指南作為信息安全事件管理流程的一部分，信息安全事件應觸發(fā)公有云PII處理者的審查，以確定是否發(fā)生了涉及PII的數(shù)據(jù)泄露（見A.9.1）。如果信息安全事件不會導致未經(jīng)授權(quán)訪問PII或存儲PII的任何公有云PII處理者設(shè)備或設(shè)施，則不一定會觸發(fā)這樣的審查。該類事件可能包括但不限于對防火墻或邊緣服務器的ping和其他廣播攻擊、端口掃

41、描、不成功的登錄嘗試、拒絕服務攻擊和數(shù)據(jù)包嗅探。16.1.2 報告信息安全事件ISO/IEC27002中規(guī)定的控制16.1.2、相關(guān)實施指南和其他信息適用。16.1.3報告信息安全漏洞ISO/IEC27002中規(guī)定的控制16.1.3、相關(guān)實施指南和其他信息適用。16.1.4信息安全事件的評估和決策ISO/IEC27002中規(guī)定的控制16.1.4及相關(guān)實施指南適用。16.1.5對信息安全事件的響應ISO/IEC27002中規(guī)定的控制16.1.5、相關(guān)實施指南和其他信息適用。16.1.6學習信息安全事件ISO/IEC27002中規(guī)定的控制16.1.6、相關(guān)實施指南和其他信息適用。16.1.7收集證

42、據(jù)ISO/IEC27002中規(guī)定的控制16.1.7、相關(guān)實施指南和其他信息適用。17業(yè)務連續(xù)性管理的信息安全方面適用ISO/IEC27002:2013第17章中規(guī)定的目標和內(nèi)容。18合規(guī)18.1 遵守法律和合同要求適用ISO/IEC27002:2013,18.1中規(guī)定的目標和內(nèi)容。注：有關(guān)遵守法律和合同要求的其他控制和指導可在A.11中找到。18.2 信息安全審查ISO/IEC27002:2013,18.2中規(guī)定的目標適用。18.2.1 信息安全的獨立審查ISO/IEC27002中規(guī)定的控制18.2.1、相關(guān)實施指南和其他信息適用。以下行業(yè)特定指南也適用。公有云PII保護實施指南如果個別云服務

43、租戶審計不可行或可能增加安全風險的情況下（參見0.1）,應在簽訂合同之前和合同期間向潛在云服務客戶提供獨立證據(jù)，證明信息安全是根據(jù)公有云PII處理者的政策和程序來實現(xiàn)和操作的。公有云PII處理者可選擇相關(guān)獨立審計來滿足云服務租戶審計公有云PII處理者處理操作的要求，前提是提供足夠的透明度。18.2.2 遵守安全政策和標準ISO/IEC27002中規(guī)定的控制18.2.2、相關(guān)實施指南和其他信息適用。18.2.3 技術(shù)合規(guī)性審查ISO/IEC27002中規(guī)定的控制18.2.3、相關(guān)實施指南和其他信息適用。附件A.（規(guī)范性附錄）公有云PII處理者擴展PII保護控制集本附件規(guī)定了新的控制措施和相關(guān)的實

44、施指南，結(jié)合ISO/IEC27002中的增強控制和指導（見第5至18條），構(gòu)成了一個擴展控制集，以適用于公有云服務提供商充當PII處理者情況下的PII保護要求。這些附加控制根據(jù)ISO/IEC29100的11項隱私原則進行分類。在許多情況下，這些控制可以根據(jù)多個隱私原則進行分類。在這種情況下，它們根據(jù)最相關(guān)的原則進行分類。A.1同意和選擇A.1.1有關(guān)PII主體權(quán)利的合作義務控制公有云PII處理者應向云服務租戶提供手段，使其能夠履行其義務，以便利PII主體行使訪問、更正和/或刪除與其相關(guān)的PII的權(quán)利。公有云PII保護實施指南PII控制者在這方面的義務可以通過法律，法規(guī)或合同來定義。這些義務可能

45、包括云服務租戶使用公有云PII處理者服務實施的事項。例如，這可能包括及時糾正或刪除PII。PII控制者依賴公有云PII處理者進行信息或技術(shù)措施以便PII主體行使權(quán)利的，相關(guān)信息或技術(shù)措施應在合同中約定。A.2目的合法性和規(guī)范A.2.1公有云PII處理者的目的控制根據(jù)合同處理的PII,不應獨立于云服務客戶的指示進行處理，無論出于什么目的。公有云PII保護實施指南操作指南可以包含在公有云PII處理者和云服務租戶之間的合同中，包括例如，服務要達到的目標和時限。為了實現(xiàn)云服務租戶的目的，可能存在技術(shù)原因?qū)е鹿性芇II處理者更適合決定處理PII的方法，該方法符合云服務租戶的一般選擇，但沒有云服務租戶的

46、明示說明。例如，為了有效地利用網(wǎng)絡(luò)或處理能力，可能需要根據(jù)PII主體的某些特征分配特定的處理資源。在公有云PII處理者確定處理方法涉及PII收集和使用的情況下，公有云PII處理者應遵守ISO/IEC29100中規(guī)定的相關(guān)隱私原則。公有云PII處理者應及時向云服務租戶提供所有相關(guān)信息，以允許云服務租戶確保公有云PII處理者符合目的規(guī)范和限制原則，確保公有云PII處理者或任何分包商不會為與云服務租戶指示無關(guān)的其他目的而處理PII。A.2.2公有云PII處理者的商業(yè)用途控制未經(jīng)明確同意，公有云PII處理者不得將基于合同處理的PII用于營銷和廣告目的。此類同意不應成為接收服務的條件。注：此控制是A.2

47、.1中更一般控制的補充，不替換或以其他方式取代它。A.3收集限制沒有其他控制措施與此隱私原則相關(guān)。A.4數(shù)據(jù)最小化A.4.1安全擦除臨時文件控制臨時文件和文件應在指定的記錄期內(nèi)刪除或銷毀。公有云PII保護實施指南關(guān)于PII擦除的實施指南見A.10.11。信息系統(tǒng)可以在其正常操作過程中創(chuàng)建臨時文件。此類文件屬于特定的系統(tǒng)或應用程序，但可能包括與數(shù)據(jù)庫更新和其他應用程序軟件的操作相關(guān)聯(lián)的文件系統(tǒng)回滾日志和臨時文件。相關(guān)信息處理任務完成后不需要臨時文件，但有些情況下可能不會刪除它們。這些文件保持使用的時間長度并不總是確定的，但“垃圾收集”程序應識別相關(guān)文件并確定自上次使用以來已經(jīng)存在多長時間。PII

48、處理信息系統(tǒng)應實施定期檢查，刪除指定保存時間以上的未使用臨時文件。A.5使用，保留和披露限制A.5.1PII披露通知控制公有云PII處理者與云服務租戶之間的合同，應要求公有云PII處理者根據(jù)合同中約定的程序和段，將來自執(zhí)法機關(guān)的任何具有法律約束力的PII披露請求通知云服務租戶，除非另有禁止。公有云PII處理者應提供合同保證，拒絕任何不具有法律約束力的PII披露請求，在進行任何PII披露之前，在法律允許的情況下咨詢相應的云服務租戶，并接受相應云服務租戶授權(quán)的任何合同約定下的PII披露請求?？赡芙古兜囊粋€例子是為保護執(zhí)法調(diào)查的機密性而根據(jù)刑法禁止披露相關(guān)信息。A.5.2記錄PII披露控制應記錄

49、對第三方的PII披露，包括已披露的PII,向誰以及在何時披露。公有云PII保護實施指南可以在正常操作過程中公開PII。應記錄這些披露（見12.4.1）。還應記錄對第三方的任何其他披露，例如合法調(diào)查或外部審計所產(chǎn)生的披露。記錄應包括披露請求的來源和進行披露的授權(quán)來源。A.6準確性和質(zhì)量沒有其他控制措施與此隱私原則相關(guān)。A.7開放性，透明度和通知A.7.1披露分包的PII處理控制公有云PII處理者使用分包商處理PII應在使用前向相關(guān)云服務租戶披露。公有云PII保護實施指南在公有云PII處理者和云服務租戶之間的合同中，使用分包商處理PII的規(guī)定應該是透明的。合同應規(guī)定分包商只能在服務開始時且經(jīng)過云服

50、務租戶同意的基礎(chǔ)上進行委托。公有云PII處理者應及時通知云服務租戶這方面的任何變更，以便云服務租戶能夠拒絕此類變更或終止合同。披露的信息應包括使用分包的事實和相關(guān)分包商名稱，但不包括任何特定于業(yè)務的細節(jié)。披露的信息還應包括分包商在哪個國家處理數(shù)據(jù)（見A.11.1）以及分包商有義務達到或超過公有云PII處理者義務的手段（見A.10.12）。如果評估分包商信息的公開披露以增加超出可接受限度的安全風險，則應根據(jù)保密協(xié)議和/或應云服務租戶的要求進行披露。應該讓云服務租戶知道該信息是可用的。A.8個人參與和訪問沒有其他控制措施與此隱私原則相關(guān)。A.9問責制A.9.1涉及PII的數(shù)據(jù)泄露的通知控制如果未經(jīng)

51、授權(quán)訪問PII或未經(jīng)授權(quán)訪問處理設(shè)備或設(shè)施導致PII丟失，泄露或更改，公有云PII處理者應立即通知相關(guān)云服務租戶。公有云PII保護實施指南涉及PII數(shù)據(jù)泄露通知的規(guī)定應屬于公有云PII處理者與云服務租戶之間合同的一部分。合同應規(guī)定公有云PII處理者如何提供云服務租戶履行其通知相關(guān)機構(gòu)的義務所必需的信息。此通知義務不適用于云服務租戶或PII主體及其負責的系統(tǒng)組件內(nèi)造成的數(shù)據(jù)泄露。合同還應規(guī)定涉及PII的數(shù)據(jù)泄露通知的最大延遲。如果發(fā)生涉及PII的數(shù)據(jù)泄露事件，則應保留一份記錄，其中包括事件描述，事件時間，事件后果，記錄者姓名，事件報告對象，采取的步驟解決事件（包括負責人和數(shù)據(jù)恢復）以及事件導致P

52、II丟失，披露或變更的事實。如果發(fā)生涉及PII的數(shù)據(jù)泄露，該記錄還應包括受損數(shù)據(jù)的描述（如果已知）；如果需要執(zhí)行通知，則采取步驟通知云服務租戶和/或監(jiān)管機構(gòu)。在某些司法管轄區(qū)，相關(guān)法律或法規(guī)可能要求公有云PII處理者直接通知適當?shù)谋O(jiān)管機構(gòu)（例如PII保護機構(gòu)）涉及PII的數(shù)據(jù)泄露。注意可能存在其他需要通知但此處未涉及的違規(guī)行為，例如：未經(jīng)許可或其他授權(quán)收集，未經(jīng)授權(quán)使用等。A.9.2行政安全政策和指南的保留期限控制安全政策和操作程序的副本應在更換（包括更新）后的一段時間內(nèi)保留，保留時長應明確規(guī)定并文件化記錄。公有云PII保護實施指南可能需要審查當前和歷史政策和程序，例如在客戶爭議解決和PII保

53、護機構(gòu)調(diào)查的情況下。如果沒有特定的法律或合同要求，建議最短保留期為五年。A.9.3PII退貨，轉(zhuǎn)讓和處置控制公有云PII處理者應該有關(guān)于PII的返還，傳輸和/或處置的策略，并且云服務租戶應該可使用該策略。在某個時間點，PII可能需要以某種方式處理。這可能涉及將PII返還給云服務租戶，將其轉(zhuǎn)移到另一個公有云PII處理者或PII控制者（例如，作為兼并的結(jié)果），安全地刪除或以其他方式銷毀它，對其進行匿名化或歸檔。公有云PII處理者應提供必要的信息，以允許云服務租戶確保根據(jù)合同處理的PII（由公有云PII處理者及其任何分包商）從存儲的任何位置刪除，包括出于備份和業(yè)務連續(xù)性的目的保存的副本，只要它們不再

54、是云服務租戶的特定目的所必需的。應以合同形式明確處置機制（刪除，覆蓋，消磁，銷毀或其他形式的擦除）和/或適用的商業(yè)標準。公有云PII處理者應制定并實施有關(guān)PII處置的策略，并應將此策略提供給云服務租戶。該政策應涵蓋PII在合同終止后銷毀之前的保留期，以保護云服務租戶在合同意外失效時失去PII。注：該控制和指導也與“使用，保留和公開限制”原則的保留要素相關(guān)（見A.5）。A.10信息安全A.10.1保密協(xié)議或保密協(xié)議控制公有云PII處理者控制下的可以訪問PII的個人應遵守保密義務。公有云PII保護實施指南公有云PII處理者，其員工及其代理之間以任何形式簽訂的保密協(xié)議應確保員工和代理不會出于與云服務租戶的指示無關(guān)的目的披露PII（參見A.2.1）。保密協(xié)議的義務應在任何相關(guān)合同終止后繼續(xù)有效。A.10.2限制硬拷貝材料的制作控制應該限制顯示PII的硬拷貝材料的創(chuàng)建。公有云PII保護實施指南硬拷貝材料包括通過印刷產(chǎn)生的材料。A.10.3數(shù)據(jù)恢復的控制和記錄控制應該有數(shù)據(jù)恢復工作的程序和日志。公有云PII保護實施指南數(shù)據(jù)恢復工作的日志應包含:注：上述控制使適用于某些法律管轄區(qū)以下要求變得通用。負責人，已恢復數(shù)據(jù)的描述以及手動恢復的數(shù)據(jù)。A.10.4保護離開場所的存儲介質(zhì)上的數(shù)據(jù)控制離開組織場所的介質(zhì)上的PII應受授權(quán)程序的約束，除授權(quán)人員外任何人不得訪問（例如，通過加密相關(guān)數(shù)據(jù)）。