一、什么是 ISO 27018?

       ISO 27018叫公有云个人身份信息(PII)安全防护，又称云隐私认证，更着重于个人隐私数据保护，基于ISO 27002的基础上，延伸定义新增个人资料的隐私保护。ISO 27018于2014-8-1正式公布。ISO/IEC 27018是公有云服务中个人可识别信息保护的一 种行为准则。它在体系结构上沿用了被广泛使用且备受 重视的ISO/IEC 27002信息安全控制行为准则的框架。

      对于组织和消费者而言，云具有大量优势：比如节省成本、灵活性以及移动访问信息均深受青睐。但云同样也引发人们对数据保护和隐私方面的担忧，尤其是涉及个人可识别信息。个人可识别信息（PII）包括任何可用以确定特定用户身份的信息。比较直接的例子包括您的名字、联系方式或您婚前的姓氏。但也有一些个人身份信息不常容易让人联想到， 例如病历卡、IP地址和银行对账单。目前已经公布的ISO/IEC 27018标准与ISO/IEC 27001标准配合使用，可用于支持其基础设施通过标准认证的云服务提供商告知其现有和潜在客户，其数据得到了安全的保护，不会被用于任何其未明确同意的用途。

二、ISO 27001/ISO 27002与ISO 27017 标准的差异部分：

三、ISO/IEC 27018包含什么

这一标准包含若干指南，根据ISO定义，这些指南旨在:

1、帮助公有云服务供应商在作为 PII处 理者开展业务时承担必要的责任， 无论此类责任是否直接或通过合同 明确应

2、使公有云PII处理者在相关事务中保 持透明，从而让客户可以选择经过良 好治理的，基于云的PII 处理服务

3、协助客户和公有云PII处理者达成合 同协议

4、为云服务客户提供行使审核和合规权 利及责任的机制。单独的—个人云服 务客户审核托管在多方虚拟化服务器 (云)环境中的数据可能在技术上不 切实际，同时可能增大物理及逻辑的 网络安全风险

        ISO/IEC 27018能够确保云服务供应 商在处理PII方面有着适当的程序。它还可以帮助制定更强的云服务协 议。该标准就PII的问题，规定了 CSPs如何培训员工，需要什么文件 程序，并提供了相应的指导方针。ISO /IEC 27018旨在为云服务客户 提供真正的透明度，以便客户能够 清楚了解云服务供应商商在保护和 保护个人数据方面所做的事情。在实施这一标准时，企业须考虑到 下列三个方面:

1、是否有企业必须遵守的现有法律和 法规要求，包括任何行业特定规则 和法规

2、遵守ISO/IEC 27018是否会为企业招 致更多风险

3、采用此标准是否会与企业的政策和企 业文化背道而驰

四、办理流程：

五、ISO/IEC 27018标准的优势有哪些？

1、驱使他人对您企业的信任感——让您的客户和利益相关者对其个人数据和信息的安全性更加放心。

2、提供竞争优势——借由为个人信息提供最高程度的保护，让您从竞争对手之中脱颖而出。

3、保护品牌声誉——降低因数据泄露引发的负面宣传风险。

4、降低风险——确保风险被识别，且控制措施到位以管理或降低风险。

5、防止罚款——确保遵守当地法规，降低对数据泄露的罚款风险。

6、助力企业发展——提供覆盖不同国家的通用指导方针，为在全球范围内开展业务和获得作为首选供应商的机会提供便利性。