如今,云計(jì)算行業(yè)廠商習(xí)慣于看到服務(wù)提供商對(duì)符合國(guó)際標(biāo)準(zhǔn)化組織(ISO)27001信息安全管理體系標(biāo)準(zhǔn)的要求,但是卻很少討論ISO 27018標(biāo)準(zhǔn),而這是一個(gè)關(guān)于個(gè)人隱私的標(biāo)準(zhǔn)。ISO27018是一個(gè)主要針對(duì)保護(hù)云計(jì)算中個(gè)人數(shù)據(jù)安全的國(guó)際標(biāo)準(zhǔn)。
該標(biāo)準(zhǔn)在2014年春季發(fā)布,但在三年之后,ISO 27018還沒(méi)有真正滲透到公眾意識(shí)中。英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)ISO27018技術(shù)經(jīng)理Rob Whitcher表示,目前企業(yè)不可能以ISO27001同樣的方式支持ISO27018。
話雖如此,他承認(rèn)人們害怕自己的個(gè)人信息在云端中遭遇泄露或被人利用,而這些焦慮大多是不合理的,但這也是非常真實(shí)的。
“人們擔(dān)心在云中的數(shù)據(jù)將會(huì)發(fā)生什么。他們會(huì)做一些事情,比如在家中運(yùn)行一個(gè)小型的服務(wù)器,他們覺(jué)得這比運(yùn)行在Amazon Web Services[AWS]更為安全。而AWS服務(wù)器其實(shí)更安全,因?yàn)閿?shù)據(jù)中心會(huì)受到很好的保護(hù)。但是很多人不這么認(rèn)為。”Whitcher說(shuō)。
ISO 27018標(biāo)準(zhǔn)采用及其重要性
ISO 27018的目的是為了給那些希望保護(hù)他們的數(shù)據(jù)的服務(wù)提供者提供信任,證明他們遵循國(guó)際公認(rèn)的準(zhǔn)則。
Whitcher說(shuō):“英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)正在尋求幫助這些組織。我們將為他們提供ISO 27001認(rèn)證,但如果他們希望獲得27018,也可以為他們提供。”
他補(bǔ)充說(shuō),還有一點(diǎn)是人們對(duì)標(biāo)準(zhǔn)以及它們的內(nèi)容的誤解。他說(shuō):“ISO 27001是關(guān)于信息的保護(hù),而不是ISO 27018所保護(hù)的個(gè)人信息。”
為此,ISO27018確定了“個(gè)人身份信息”(PII)的含義,以及應(yīng)該如何處理。
根據(jù)條款,PII是(a)可用于識(shí)別與此類(lèi)信息相關(guān)的PII主體的任何信息,或(b)可能與PII主體直接或間接相關(guān)。
輔助定義是PII主體,有時(shí)稱為數(shù)據(jù)主體,PII控制者是決定數(shù)據(jù)處理目的的人員。
然而,使用ISO 27018標(biāo)準(zhǔn)不會(huì)干擾客戶的責(zé)任。最終,如果是組織正在照查看個(gè)人資料,該標(biāo)準(zhǔn)并不能免除其責(zé)任。
標(biāo)準(zhǔn)中條款表明,“合同協(xié)議應(yīng)明確分配公共云PII處理器(在這種情況下是云服務(wù)提供商,也就是其分包商和云服務(wù)客戶)之間的責(zé)任。”
雖然組織仍然需要處理客戶數(shù)據(jù),但I(xiàn)SO27018確實(shí)提供了遵循的路徑。
ISO 27018:是誰(shuí)采用它?
然而,另一個(gè)標(biāo)準(zhǔn)ISO 27017,在即將到來(lái)的時(shí)候尚未批準(zhǔn),但預(yù)計(jì)將會(huì)更加廣泛。
這將是一個(gè)實(shí)踐守則,提供超出ISO 27002特色的額外建議。最重要的是,它將通過(guò)向云服務(wù)提供商及其客戶提供信息和對(duì)其職責(zé)的總結(jié)來(lái)幫助云服務(wù)提供商及其客戶。它將超越ISO27018,盡管組織必須等待幾個(gè)月才可用。
同時(shí),對(duì)于那些想要在云中對(duì)其信息放心的人,服務(wù)提供商也急切地采納了這一標(biāo)準(zhǔn)。微軟和AWS就是首先采用的兩家公司,特別是將大部分遵守這個(gè)標(biāo)準(zhǔn)。
AWS公司在英國(guó)技術(shù)傳播者Ian Massingham表示,ISO 2718的授予是AWS公司對(duì)隱私承諾的重要組成部分。
他補(bǔ)充說(shuō):“ISO 27018的成就向客戶證明,AWS擁有一套具體的管理制度,專(zhuān)門(mén)處理其內(nèi)容的隱私保護(hù)。對(duì)隱私和保護(hù)客戶內(nèi)容的承諾將永遠(yuǎn)是AWS和我們客戶現(xiàn)在和未來(lái)的首要任務(wù)。”
據(jù)英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)的Whitcher介紹,還有其他公司希望采用。“Salesforce公司對(duì)此具有一定的興趣。”他說(shuō),Dropbox公司宣布在2015年5月遵行這一標(biāo)準(zhǔn)。
他補(bǔ)充道:“隨著越來(lái)越多的組織意識(shí)到其存在以及越來(lái)越多對(duì)云服務(wù)提供商的需求,我們當(dāng)然可以期待廠商對(duì)此有更多的興趣。”
雖然持有ISO 27018的云提供商的數(shù)量開(kāi)始穩(wěn)步上升,但是Massingham解釋說(shuō),為什么這些廠商持有這個(gè)重要標(biāo)準(zhǔn)的原因。
“隨著越來(lái)越多的客戶將更多的PII轉(zhuǎn)移到云端,這是他們一直在追求的標(biāo)準(zhǔn)。”他補(bǔ)充說(shuō),特別是那些在生命科學(xué)和醫(yī)療行業(yè)運(yùn)營(yíng)的用戶。
盡管云計(jì)算在企業(yè)內(nèi)迅速采用,但安全性仍然是用戶的重中之重。
Whitcher等行業(yè)人士可以指出,所有內(nèi)容都是安全的,并且云計(jì)算中的一切都處于危險(xiǎn)之中的思維有著一定的缺陷,但實(shí)際情況是有多少人這么認(rèn)為。
時(shí)代正在發(fā)生變化,云計(jì)算公司越來(lái)越意識(shí)到可以提供完全相同的保護(hù),而對(duì)標(biāo)準(zhǔn)的接受,僅依靠直覺(jué)是不夠的。
ISO 27018的崛起是云部署和個(gè)人信息保護(hù)并不矛盾的第一個(gè)跡象,人們可以期望在未來(lái)一年內(nèi)對(duì)這一領(lǐng)域的興趣日益增加。