ISO-IEC 27018-2014 中文版_第1页
ISO-IEC 27018-2014 中文版_第2页
ISO-IEC 27018-2014 中文版_第3页
ISO-IEC 27018-2014 中文版_第4页
ISO-IEC 27018-2014 中文版_第5页
已阅读5页,还剩33页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

BSBS ISOISO / / IECIEC 2701827018 BSI标准出版物 信息技术信息技术 - - 安全技术安全技术 - - 实践保实践保 护守则护守则 在公共云作为在公共云作为PIIPII处理器的个人处理器的个人 身份信息(身份信息(PIIPII) BS ISO / IEC 27018:2014BRITISH标准 国国家家前前言言 这个英国标准是英国执行ISO / IEC的27018:2014 在其准备英国参与委托给技术委员会IST / 33,IT - 安全技术。 可向其秘书处获得的这个委员会代表的组织名单。 本出版物不声称包括一个合同所有必要的规定。用户负责 其正确使用。 英国标准协会2014年出版BSI标准有限公司2014 ISBN 0 978 580 79669 2 ICS 35.040 符合英国标准不能赋予获得法律义务的豁免权。符合英国标准不能赋予获得法律义务的豁免权。 该英国标准是在标准政策和战略委员会的授权下发布的2014年8月 31日。 修正案自出版以来发行修正案自出版以来发行 日期文本 受影响 BS ISO / IEC 27018日 国际标准I IS SO O / / I IE EC C 2 27 70 01 18 8 第一版 2014-08-01 信信息息技技术术 - - 安安全全技技术术 - - 代代号号实实践践公公共共 云云的的个个人人身身份份信信息息(P PI II I)的的保保护护作作 为为P PI II I处处理理器器 技术DE L'信息-技术安全局-代码德女佣pratiques倒拉保护 DES信息personnelles identifiables(PII)丹斯欧莱雅 INFORMATIQUE连接nuage公共agissant COMME processeur 德PII 参考号ISO / IEC 27018:2014(E) ISO / IEC BS ISO / IEC 27018日期: 2014 I IS SO O / / I IE EC C 2 27 70 01 18 8日日期期: 2014 BS ISO / IEC 27018日期: 2014 I IS SO O / / I IE EC C 2 27 70 01 18 8日日期期: 2ISO / IEC 2014 - 保留所有权 版权保护的文档版权保护的文档 ISO / IEC 2014 版权所有。除非另有规定,本出版物的任何部分进行复制或以任何形式或通过任何手段,电子或机械,包括复印,或 发布在互联网或内联网的,未经书面许可,否则利用。权限可以从ISO被要求在请求国下面的地址或ISO的成员机构。 ISO版权局 邮政信箱56CH-1211日内瓦20 联系电话。 + 41 22 749 01 11 传真 + 41 22 749 09 47 电子邮件 卷筒纸 在瑞士出版 BS ISO / IEC 27018日 期:2014 I IS SO O / / I IE EC C 2 27 70 01 18 8日日期期: 3ISO / IEC 2014 - 保留所有权 内内容容页 前前言言.                                                                             .v v 0 0I In nt tr ro od du uc ct ti io on nv vi i.                                                           . 1 1S Sc co op pe e1 1.                                                                 . 2 2规规范范 r re ef fe er re en nc ce es s1 1.                                                         . 3 3条条款款 和和 d de ef fi in ni it ti io on ns s1 1.                                                       . 4 4O Ov ve er rv vi ie ew w3 3.                                                              . 4.1这种结构 标准3. 4.2控制 categories4. 5 5信信息息安安全全 p po ol li ic ci ie es s4 4.                                                        . 5.1信息管理方向 security4. 6 6信信息息组组织织 s se ec cu ur ri it ty y5 5.                                                       . 6.1内部 organization5. 6.2移动设备和 teleworking5. 7 7人人力力资资源源 s se ec cu ur ri it ty y5 5.                                                       . 7.1之前 employment5. 7.2中 employment5. 7.3终止和变更 employment6 8 8财财富富 mma an na ag ge emme en nt t6 6.                                                       . 9 9访访问问 c co on nt tr ro ol l6 6.                                                            . 9.1接入的业务需求 control6. 9.2用户访问 management6. 9.3用户 responsibilities7. 9.4系统和应用程序的访问 control7. 1 10 0C Cr ry yp pt to og gr ra ap ph hy y8 8.                                                          . 10.1加密 controls8 1 11 1物物理理和和环环境境 s se ec cu ur ri it ty y8 8.                                                      . 11.1安全 areas8 11.2Equipment9 1 12 2操操作作 s se ec cu ur ri it ty y9 9.                                                           . 12.1操作程序及 responsibilities9 12.2从保护 malware10 12.3Backup10 12.4日志记录和 monitoring11 12.5的操作控制 software12 12.6技术漏洞 management12. 12.7信息系统审计 considerations12. 1 13 3通通讯讯 s se ec cu ur ri it ty y1 12 2.                                                          . 13.1网络安全 management12. 13.2信息 transfer12. 1 14 4系系统统采采集集,开开发发和和 mma ai in nt te en na an nc ce e1 13 3.                                           . 1 15 5供供应应商商 r re el la at ti io on ns sh hi ip ps s1 13 3.                                                    . 1 16 6信信息息安安全全事事件件 mma an na ag ge emme en nt t1 13 3.                                               . 16.1信息安全事件管理 improvements13 1 17 7业业务务连连续续性性的的信信息息安安全全问问题题 管管理理1 14 4.                                          . BS ISO / IEC 27018日期: 2014 I IS SO O / / I IE EC C 2 27 70 01 18 8日日期期: 4ISO / IEC 2014 - 保留所有权 1 18 8C Co ommp pl li ia an nc ce e1 14 4.                                                           . 18.1符合法律和合同 requirements14 18.2信息安全 reviews14. 附附件件A A P PI II I(规规范范)公公共共云云P PI II I处处理理器器扩扩展展控控制制集集 p pr ro ot te ec ct ti io on n1 15 5.                              . B Bi ib bl li io og gr ra ap ph hy y2 23 3.                                                                . BS ISO / IEC 27018日 期:2014 I IS SO O / / I IE EC C 2 27 70 01 18 8日日期期: 5ISO / IEC 2014 - 保留所有权 前前言言 ISO(国际标准化组织)和IEC(国际电工委员会)形成了全世界标准化的专门系统。ISO或IEC 成员的国家机构参与国际标准的,通过各自组织制定应对技术活动的特定领域技术委员会的发 展。ISO和IEC技术委员会在共同感兴趣的领域合作。其他国际组织,政府和非政府组织,与ISO 和IEC的联系,也可参加此项工作。在信息技术领域,ISO和IEC建立了一个联合技术委员会ISO / IEC JTC 1。 程序用于开发本文件和那些用于其进一步的维护在ISO / IEC指令中描述了第1部分特别需要 的不同类型的文件的不同审批标准应当注意。这个文件是按照编辑器起草在ISO / IEC导的IAL 规则,第2部分(见万维网。/directives)。 提请注意的是本文件的某些元素可能是专利权的问题的可能性。ISO和IEC不负责识别任何或 所有这样的专利权。该文档的开发过程中发现的任何专利权的细节将在引进和/或日IS LISF金属制平碟宣言小号RECEived(见万维网。一世/patents)。 本文档中使用的任何商品名给出了用户的便利性信息,并不构成认可。 对于 关于合格评定,以及有关ISO坚持在技术性贸易壁垒(TBT)的WTO原则的信息请参阅 以下网址与ISO特定的术语和表述的含义的解释: 前言 - 补充信息 负责该文档的委员会是ISO / IEC JTC 1,信息技术,小组委员会SC 27,IT安全技术。 BS ISO / IEC 27018日期: 2014 I IS SO O / / I IE EC C 2 27 70 01 18 8日日期期: 6ISO / IEC 2014 - 保留所有权 0 0介介绍绍 0 0. .1 1背背景景情情况况 谁在履行合同过程中的个人身份信息(PII)给他们的客户的云服务提供商的方式,让双方满足适 用的法律和覆盖PII的保护法规的要求进行操作他们的服务。其中要求云服务提供商和客户之间的 划分要求和方式根据不同的法律管辖,并根据云服务提供商和客户之间的合同条款。立法支配PII 是如何允许待处理(即收集,使用,传递和处理的)有时被称为数据保护立法; PII有时称为个人 数据或个人信息。落在一个PII处理器的义务有所不同司法管辖区, Apubliccloudserviceproviderisa'PIIprocessor'whenitprocessesPIIforandaccordingtotheinstructions 的云服务的客户。云服务客户,谁拥有与公共云PII处理器的合同关系,范围可以从一个自然 人,“PII校长,在云上处理自己的PII,一个组织,一个“PII控制器”,与许多PII校长处理 PII。云服务的客户可以授权与之相关联的使用与公共云PII处理器的合同下向它提供的服务 的一个或多个云服务的用户。需要注意的是云服务的客户已超过加工和使用的权威数据。云 服务的客户是谁也PII控制器可能会受到更广泛的一套管理PII比公共云PII处理器的保护义 务。 注:如果公共云PII处理器处理云服务客户账户数据,它可能会作为用于此目的的PII控制器。本标准 不包括此类活动。 本国际标准的意图,在具有在ISO / IEC 27002信息安全目标和控制结合使用时,是创建一组 共同的安全类别和控制,可以通过作为PII公共云计算服务提供商来实现的处理器。它具有以 下的目标。 至帮助公众云服务提供商作为PII处理器演戏的时候,这种义务无论是直接还是通过合同属于 PII处理器上,以符合适用的义务。 至使公共云PII处理器将在相关事项透明,使云服务的客户可以选择管理良好的基于  云的 PII加工服务。 协助云服务客户并在订立合同协议的公共云PII处理器。 至提供云服务的客户行使在数据的个人云服务客户验厂在多方托管情况审计和合规性的 权利和责任机制,虚拟化服务器(云)环境可能是不切实际的技术,并可能增加风险, 这些物理和到位逻辑网络的安全控制。 这个 国际标准不适用的替代法规和条例,但可以通过提供公共云服务供应商共同遵守的框 架,特别是那些在跨国市场运作协助。 0 0. .2 2公公共共云云计计算算服服务务P PI II I保保护护控控制制 这个 国际标准是专为组织作为参考,使用用于实现云计算的基于ISO / IEC 27001,或信息安 全管理体系的过程中选择PII保护控制作为实现普遍接受的PII保护控制的作用组织的指导性 文件公共云PII处理器。特别是, BS ISO / IEC 27018日 期:2014 I IS SO O / / I IE EC C 2 27 70 01 18 8日日期期: 7ISO / IEC 2014 - 保留所有权 这个 国际标准已经基于ISO / IEC 27002去过,考虑到从可能适用于作为PII处理器的公共云计 算服务提供商的PII保护要求所产生的特定风险的环境(S)。 通常,实施ISO / IEC 27001的组织保护自己的信息资产。然而,在PII保护要求的公共云服务 提供商充当PII处理器的情况下,该组织保护其客户委托给它的信息资产。ISO / IEC 27002的 控制由公共云PII处理器来实现既适合于该目的,必要的。本标准扩充了ISO / IEC 27002点的 控制,以适应风险的分布性质和云服务客户和公共云PII处理器之间的合同关系的存在。本标 准增强了ISO / IEC 27002在两个方面: 适用于公共云PII保护实施指南提供了某些现有的ISO / IEC 27002点的控制,并 附录A 提供了一组额外的控制和相关的指导旨在解决不能由现有的ISO / IEC 27002的控制设 定解决公共云PII保护要求。 大多数在这个国际标准的控制和指导,也将适用于PII控制器。然而,PII控制器,在大多数 情况下,受这里没有指定的其他义务。 0 0. .3 3P PI II I保保护护要要求求 至关重要的是,一个组织标识PII保护的要求。有需求的三个主要来源,如下面给出的。 a)法律, 法律,法规和合同要求:一个来源是合法的,法律,法规和合同的要求和义务的 组织,它的贸易伙伴,承包商和服务供应商必须满足,他们的社会文化责任和工作环 境。Itshouldbenotedthat立法,由PII处理器订立的规例andcontractual承诺可能会强制特殊 控件的选择,也可能必要的具体标准实施这些管制。这些要求可以从一个司法管辖区 的。 b)风险: 另一个来源是从评估与PII相关的组织面临的风险,考虑到企业的整体业务战略和目标 的。通过风险评估,威胁识别,脆弱性和发生的可能性进行评估,可能产生的影响进行评 估。ISO / IEC 27005提供信息安全风险管理的指导意见,包括建议对风险评估,风险接受, 风险交流,风险监测和风险评估。ISO / IEC 29134提供隐私影响评估的指导。 c)企业策略:虽然由企业政策涉及到许多方面,从法律和社会文化衍生的义务,组织也可以自 愿选择点到为止从的要求)得出的标准。 0 0. .4 4选选择择和和实实施施控控制制在在云云计计算算环环境境 控件可从该国际标准来选择(其包括通过引用从ISO / IEC 27002的控制,创建用于由所述范 围所定义的扇区或应用组合的参考对照组)。如果需要,控制也可从其他的控制集合中选 出,或新的控制可以被设计成满足特定的需要适当。 注意通过公共云PII处理器提供PII处理服务可以被认为是云计算的应用,而不是作为在它本身的扇区。然 而,术语“特定部门的”在这个国际行动中使用IONA升标准,一个小号THI小号一世小号日conventiona升之 三米使用dw在ISO / IEC 27000系列ithin其他标准。 控件的选择取决于基于对风险的接受,risktreatmentoptions, andthegeneralriskmanagementapproachappliedtotheorganization,并通过合同协议,它的客户和 供应商的标准组织的决定,也将受到所有相关 BS ISO / IEC 27018日期: 2014 I IS SO O / / I IE EC C 2 27 70 01 18 8日日期期: 国家和国际法律和法规。如不选择从该国际标准的控制,这需要有正当理由遗漏记录在案。 此外,控制选择和实现取决于在整个云计算参考架构的背景下,公共云提供商的实际作用 (见ISO / IEC 17789)。许多不同的组织可以参与在云计算环境提供基础设施和应用服务。 在某些情况下,选定的控件可以是唯一的云计算参考架构的一个特定的服务类别。在其他情 况下,可以共享在实施安全控制的作用。合同协议需要明确指定参与提供或使用云服务,包 括公共云PII处理器,其分包商和云服务客户的所有组织的PII保护责任。 在本国际标准中的控件可以被视为指导原则和适用于大多数组织。他们在下面详细连同执行 指导解释。实施可以更简单如果PII的保护要求,已经在公共云PII处理器的信息系统,服务 和业务的设计被考虑。这样的考虑是,通常被称为“被设计隐私”概念的元素。该书目列出了 相关的文件,如ISO / IEC 29101。 0 0. .5 5开开发发更更多多指指引引 这个 国际标准可以看作是一个起点,发展PII保护指南。这是可能的,并非所有在本业务守 则的控制和指导的将是适用的。此外,可能需要不包含在本国际标准中额外的控制和指导方 针。当文件被开发包含另外的指南或控制(如适用),以便遵守审计人员和业务伙伴检查它 可能是有用的,包括在本标准的条款交叉引用。 0 0. .6 6生生命命周周期期的的考考虑虑 PIIhasanatural 生命周期,fromcreationandoriginationthroughstorage,加工,useandtransmission 到其最终破坏或衰减。有价证券投资收益的风险可以通过在其一生中会发生变化,但PII的保 护在各个阶段仍然在一定程度上很重要的。 PII保护要求需要考虑到为现有和新的信息系统的整个生命周期进行管理。 八ISO / IEC 2014 - 保留所有权利。 BS ISO / IEC 27018日 1ISO / IEC 2014 - 保留所有权 国国际际 标标准准ISOISO / / IECIEC 2701827018日期:日期: 20142014(E E) 信信息息技技术术 - - 安安全全技技术术 - - 代代码码 实实践践作作为为P PI II I处处理理器器(P PI II I)在在公公共共云云的的个个人人身身份份信信息息保保 护护 1 1范范围围 这个 国际标准规定了普遍接受的控制目标,控制和指导方针采取措施,以保护个人身份信息 (PII)按照ISO / IEC 29100的隐私原则,为公共云计算环境。 特别是,该标准规定了基于ISO / IEC 27002的指导方针,同时考虑到了这可能是适用的公共 云服务提供商的信息安全风险的环境(S)的范围内PII的保护的法律法规要求。 这个 标准适用于所有类型和规模的组织,包括公共和私营公司,政府机构和不以营利为目的 的组织,它通过云计算下的合同,其他组织提供信息处理服务PII处理器。 在该国际标准的指导方针也可能是有关作为PII控制器组织; 然而,PII控制器可能会受到额外 保护PII的法律,法规和义务,不适用于PII处理器。本标准不打算涵盖这样的额外义务。 2 2规规范范 引引用用 下列文件中的全部或部分,是由规范本文档中引用,并为它的应用是必不可少的。凡是注日 期的引用文件,仅引用的版本适用。凡是不注日期的引用文件,其最新版本(包括所有的修 改单)适用。 ISO / IEC 17788 | 建议 ITU-T Y.3500,信息技术 - 云计算 - 概述和词汇1) ISO / IEC 27000:2014信息技术 - 安全技术 - 信息安全管理体系 - 概述和词汇 ISO / IEC 27001:2013,信息技术 - 安全技术 - 信息安全管理体系 - 要求 ISO / IEC 27002:2013信息技术 - 安全技术 - 实用规程信息安全控制 ISO / IEC 29100:2011信息技术 - 安全技术 - 隐私框架 3 3条条款款 和和定定义义 对于 这个文件的目的,术语和ISO / IEC 17788,ISO / IEC 27000给出的定义和以下适用。 1)被公开。 BS ISO / IEC 27018日期: 2014 I IS SO O / / I IE EC C 2 27 70 01 18 8日日期期: 2ISO / IEC 2014 - 保留所有权 3 3. .1 1 数数据据泄泄露露 compromiseof securitythat leadstotheaccidentalorunlawfuldestruction,丢失,篡改,未 授权的公开内容,或访问所传输受保护的数据,存储或以其它方式处理 SOURCE:ISO / IEC 27040:-2),3.7 3 3. .2 2 个个人人身身份份信信息息 PIIPII 是:(a)可被用来标识PII主要向谁这样的信息涉及,或任何信息 (b)是或可能是直接或间接连接到一个PII主要 注1项:要确定PII主要是可识别的,应考虑可以合理使用的隐私利益相关者的保存数据,或任何其他 方的一切手段,以确定自然人。 SOURCE:ISO / IEC 29100:2011,2.9 注2项:包括这个定义来定义的术语PII本国际标准中。公共云PII处理器通常没有明确地知道信息是否 它处理落入任何指定的类别,除非这是由云服务客户由透明的位置。 3 3. .3 3 P PI II I控控制制器器 确定的宗旨和隐私利益相关者(或隐私利益相关者)是指用于处理个人身份信息(PII)不是谁 使用的数据用于个人目的的自然人等 注1项:一个PII控制器有时指示他人(如PII处理器)来处理PII代表其同时为处理责任仍然与PII控制器。 SOURCE:ISO / IEC 29100:2011,2.10 3 3. .4 4 P PI II I校校长长 自然人人的个人身份信息(PII)涉及 注意:1进入:根据不同的权限和特定的PII保护和隐私法,同义词“数据对象”还可以用来代替术语“PII 校长”。 SOURCE:ISO / IEC 29100:2011,2.11 3 3. .5 5 P PI II I处处理理器器 隐私利益相关者,其处理代表与按照PII控制器的指令个人可识别信息(PII) SOURCE:ISO / IEC 29100:2011,2.12 3 3. .6 6 P PI II I的的处处理理 操作或设置为在个人身份信息执行的操作的(PII) 注意:1进入:PII的处理操作的例子包括,但不限于,收集,存储,变更,检索,咨询,公开,匿名,假 名,传播或者以其他方式提供,删除或PII的破坏。 SOURCE:ISO / IEC 29100:2011,2.23 2)至予以公布。 BS ISO / IEC 27018日 期:2014 I IS SO O / / I IE EC C 2 27 70 01 18 8日日期期: 3ISO / IEC 2014 - 保留所有权 3 3. .7 7 公公共共云云服服务务提提供供商商 党,这将使得云服务根据公共云模式 4 4概概观观 4 4. .1 1本本标标准准的的结结构构 钍一世小号INTERNATIONA升STANDARd哈小号 一个structursimilaR日在FISO /IEC 27002。一世CASESwher宾语Ives的和在ISO / IEC 27002规定的控制,而不需要,仅一个参考被提 供给ISO / IEC 27002其他控制和相关的实施指导应用于用于云计算服务提供商PII保护中描述的任何其 他信息都适用附录A (规范)。 在控件需要适用于云计算服务提供商PII保护更多指导的情况下,这是走向公有云PII保护实施指 南下给出。在某些情况下,公共云PII保护的标题其他资料提供增强的补充指导相关详细资料。 如图 表格1等特定部门的指导和信息被包括在ISO / IEC 27002第号码定义的类别,已用在ISO / IEC 27002的相应条款编号对准,如在表中所示。 表表1 1 - - 实实施施管管制制部部门门的的具具体体指指导导和和其其他他资资料料的的位位置置 一一世世 ISOISO / /I IE EC C 270027002 2 条条款款 数数 标标题题备备注注 五信息安全政策行业专用 应用指南和其他Informa的重刑提供。 6信息安全组织提供特定行业实施指导。 7人力资源安全行业专用 应用指南和其他Informa的重刑提供。 8资产管理提供无需额外的特定部门实施指导或其他信息。 9访问控制扇区具体实现提供指导,在一个交叉引用,以控制(一 个或多个)一起 附录A。 10加密提供特定行业实施指导。 11物理和环境安全扇区具体实现提供指导,在一个交叉引用,以控制(一 个或多个)一起 附录A。 12操作安全提供特定行业实施指导。 13通信安全扇区具体实现提供指导,在一个交叉引用,以控制(一 个或多个)一起 附录A。 14系统采集,开发和维护提供无需额外的特定部门实施指导或其他信息。 15供应商关系提供无需额外的特定部门实施指导或其他信息。 16信息安全事故人为agement提供特定行业实施指导。 17busi-的信息安全方面内斯连续性 管理 提供无需额外的特定部门实施指导或其他信息。 18合规扇区具体实现提供指导,在一个交叉引用,以控制(一 个或多个)一起 附录A。 BS ISO / IEC 27018日期: 2014 I IS SO O / / I IE EC C 2 27 70 01 18 8日日期期: 4ISO / IEC 2014 - 保留所有权 4 4. .2 2控控制制类类 与ISO / IEC 27002线,每一个主控制类别包含: a)一个控制目标,说明什么是要实现的; 和 b)可应用于以达到控制目标的一个或多个控制。控制的描述结构如 下: 控控制制 定义了具体的控制语句,以满足控制目标。 公公共共云云P PI II I保保护护实实施施指指南南 提供更详细的信息来支持控制和满足控制目标的实现。该指导可能不是在所有情况下完 全适合或充分,并且可能不能满足企业的具体控制要求。因此,替代oradditional控制, 或者其它风险治疗(避免,转移或接受风险)的形式,也可以是适当的。 对对于于公公共共云云P PI II I保保护护的的其其他他信信息息 提供了可能需要考虑,如法律上的考虑和其他标准引用的进一步信息。 5 5信信息息安安全全政政策策 5 5. .1 1信信息息安安全全管管理理方方向向 在ISO / IEC 27002规定的目标:到2013年,5.1适用。 5 5. .1 1. .1 1信信息息安安全全政政策策 5.1.1控制和相关的实施指导和ISO / IEC 27002规定的其他信息应用。以下具体部门的指导也同样 适用。 公公共共云云P PI II I保保护护实实施施指指南南 信息安全政策应通过关于为支持和承诺实现遵守适用的PII保护的立法和公共云PII处理器和 其客户端(云服务的客户)之间达成的合同条款的声明来扩充。 合同 协议应清楚地分配公共云PII处理器,其分包商和云服务客户之间的责任,考虑到云服 务的问题(类型例如云计算参考架构的一个的IaaS,PaaS的或SaaS的种类的服务)。例如, 对于应用层控制的责任分配可以根据公共云PII处理器是否正在提供一个SaaS服务或者更确切 地说是提供一个或PaaS的服务的IaaS在其上的云服务顾客可以建立或层其自己的应用程序不 同。 对对于于公公共共云云P PI II I保保护护的的其其他他信信息息 在某些司法管辖区的公共云PII处理器是直接受到PII保护立法。在其他地方,PII保护法仅适用于 PII控制器。 有一种机制来保证公共云PII处理器有义务支持和遵守由云服务客户和公共云PII处理器之间 的合同规定管理。该合同可以要求独立审计合规,接受云服务的客户,通过相关控制的实 施,例如在本国际标准和ISO / IEC 27002。 BS ISO / IEC 27018日 期:2014 I IS SO O / / I IE EC C 2 27 70 01 18 8日日期期: 5ISO / IEC 2014 - 保留所有权 5 5. .1 1. .2 2信信息息安安全全政政策策的的检检讨讨 控制5.1.2和ISO / IEC 27002规定的相关实施指南适用。 6 6信信息息安安全全组组织织 6 6. .1 1内内部部组组织织 在ISO / IEC 27002规定的目标:到2013年,6.1适用。 6 6. .1 1. .1 1信信息息安安全全角角色色和和职职责责 6.1.1控制和相关的实施指导和ISO / IEC 27002规定的其他信息应用。以下具体部门的指导也同 样适用。 公公共共云云P PI II I保保护护实实施施指指南南 公共云PII处理器应指定由有关PII的合同规定的处理云服务客户使用的联络点。 6 6. .1 1. .2 2职职责责分分工工 6.1.2控制和相关的实施指导和ISO / IEC 27002规定的其他信息应用。 6 6. .1 1. .3 3联联系系与与当当局局 6.1.3控制和相关的实施指导和ISO / IEC 27002规定的其他信息应用。 6 6. .1 1. .4 4联联系系与与特特殊殊利利益益集集团团 6.1.4控制和相关的实施指导和ISO / IEC 27002规定的其他信息应用。 6 6. .1 1. .5 5在在项项目目管管理理信信息息安安全全 控制6.1.5和ISO / IEC 27002规定的相关实施指南适用。 6 6. .2 2MMo ob bi il le e设设备备和和远远程程办办公公 指定在ISO / IEC 27002的目标,内容,时间:2013年6.2,适用。 7 7人人力力资资源源安安全全 7 7. .1 1此此前前就就业业 指定在ISO / IEC 27002的目标,内容,时间:2013年7.1,适用。 7 7. .2 2在在就就业业 在ISO / IEC 27002规定的目标:到2013年,7.2适用。 ISO / IEC 2014 - 保留所有权 BS ISO / IEC 27018日期: 2014 I IS SO O / / I IE EC C 2 27 70 01 18 8日日期期: 6 7 7. .2 2. .1 1管管理理职职责责 7.2.1控制和相关的实施指导和ISO / IEC 27002规定的其他信息应用。 7 7. .2 2. .2 2信信息息安安全全意意识识,教教育育和和培培训训 7.2.2控制和相关的实施指导和ISO / IEC 27002规定的其他信息应用。以下具体部门的指导也同样 适用。 公公共共云云P PI II I保保护护实实施施指指南南 措施要落实到位,以使相关人员了解公共云PII处理器上可能产生的后果(如法律后果,企业 和品牌或声誉损失的损失),工作人员上(如纪律处罚),并在PII主违反隐私或安全规则和 程序,特别是那些涉及PII的处理(例如物理,材料和情感后果)。 对对于于公公共共云云P PI II I保保护护的的其其他他信信息息 在某些地区,公共云PII处理器可能会受到法律的制裁,包括直接从本地PII保护机构巨额罚 款。在其他司法管辖区设立公共云PII处理器和云服务的客户之间的合同使用国际标准,如本 应帮助建立合同制裁的基础违反安全规则和程序。 7 7. .2 2. .3 3纪纪律律处处分分程程序序 7.2.3控制和相关的实施指导和ISO / IEC 27002规定的其他信息应用。 7 7. .3 3终终端端和和就就业业的的变变化化 指定在ISO / IEC 27002的目标,内容,时间:2013年7.3,适用。 8 8资资产产管管理理 在指定的目标,内容,ISO / IEC 27002:2013,第8条申请。 9 9访访问问控控制制 9 9. .1 1访访问问控控制制的的业业务务需需求求 指定在ISO / IEC 27002的目标,内容,时间:2013年9.1,适用。 9 9. .2 2用用户户访访问问管管理理 在ISO / IEC 27002规定的目标:到2013年,9.2适用。以下具体部门的指导,也适用于所有的控件的本 条(9.2)下实施。 公公共共云云P PI II I保保护护实实施施指指南南 在云计算参考架构的服务类别的背景下,云服务的客户可以负责访问管理的云服务用户在其 控制下的一些或所有方面。在适当情况下,公共云PII处理器应该能够使云服务的客户管理云 服务客户的控制下,由云服务用户的访问,如通过管理或终止访问管理权限。 BS ISO / IEC 27018日 期:2014 I IS SO O / / I IE EC C 2 27 70 01 18 8日日期期: 7ISO / IEC 2014 - 保留所有权 9 9. .2 2. .1 1用用户户注注册册和和注注销销 9.2.1控制和相关的实施指导和ISO / IEC 27002规定的其他信息应用。以下具体部门的指导也同 样适用。 公公共共云云P PI II I保保护护实实施施指指南南 程序用于用户注册和注销应解决其中用户访问控制受到损害,如损坏或密码或其他用户注册 数据的折衷(例如,作为无意公开的结果)的情况。 注:个别司法管辖区可以并处关于检查未使用认证证书的频率具体要求。机构在这些司法管辖区的工 作应确保他们符合这些要求。 9 9. .2 2. .2 2用用户户访访问问配配置置 9.2.2控制和相关的实施指导和ISO / IEC 27002规定的其他信息应用。 9 9. .2 2. .3 3特特许许访访问问权权限限管管理理 9.2.3控制和相关的实施指导和ISO / IEC 27002规定的其他信息应用。 9 9. .2 2. .4 4用用户户的的秘秘密密认认证证信信息息管管理理 9.2.4控制和相关的实施指导和ISO / IEC 27002规定的其他信息应用。 9 9. .2 2. .5 5用用户户的的访访问问权权限限审审查查 9.2.5控制和相关的实施指导和ISO / IEC 27002规定的其他信息应用。 9 9. .2 2. .6 6切切除除 访访问问权权限限或或调调整整 9.2.6控制和相关的实施指导和ISO / IEC 27002规定的其他信息应用。 9 9. .3 3U Us se er r责责任任 在ISO / IEC 27002规定的目标:到2013年,9.3适用。 9 9. .3 3. .1 1U Us se e的的秘秘密密认认证证信信息息 控制9.3.1和ISO / IEC 27002规定的相关实施指南适用。 9 9. .4 4系系统统 和和应应用用程程序序访访问问控控制制 在ISO / IEC 27002规定的目标:到2013年,9.4适用。 9 9. .4 4. .1 1信信息息访访问问限限制制 控制9.4.1和ISO / IEC 27002规定的相关实施指南适用。 注意额外的控制和指导的相关信息的访问限制可以发现 A.10.13。 BS ISO / IEC 27018日期: 2014 I IS SO O / / I IE EC C 2 27 70 01 18 8日日期期: 8ISO / IEC 2014 - 保留所有权 9 9. .4 4. .2 2安安全全登登录录程程序序 9.4.2控制和相关的实施指导和ISO / IEC 27002规定的其他信息应用。以下具体部门的指导也同样 适用。 公公共共云云P PI II I保保护护实实施施指指南南 在需要时,公共云PII处理器应该提供云服务客户在其控制下的云服务的用户所要求的任何账户 安全登录程序。 9 9. .4 4. .3 3密密码码 管管理理系系统统 9.4.3控制和相关的实施指导和ISO / IEC 27002规定的其他信息应用。 9 9. .4 4. .4 4特特权权实实用用程程序序的的应应用用 9.4.4控制和相关的实施指导和ISO / IEC 27002规定的其他信息应用。 9 9. .4 4. .5 5访访问问控控制制程程序序的的源源代代码码 9.4.5控制和相关的实施指导和ISO / IEC 27002规定的其他信息应用。 1010加加密密 1 10 0. .1 1密密码码控控制制 在ISO / IEC 27002规定的目标:到2013年,10.1适用。 1 10 0. .1 1. .1 1在在使使用用密密码码控控制制的的策策略略 控制10.1.1和相关的实施指导和ISO / IEC 27002规定的其他信息应用。以下具体部门的指导也同 样适用。 公公共共云云P PI II I保保护护实实施施指指南南 公共云PII处理器应该提供关于其使用加密来protectthe PII它处理的情况下,以云服务的客户 信息。公共云PII处理器还应提供信息关于它提供的任何功能,可以帮助云服务的客户在申请 自己的密码保护云服务的客户。 注:在某些司法管辖区,可能需要申请密码保护特定类型的PII,如涉及一个PII主要的健康数据,居 民登记号码,护照号码和驾驶证号码。 1 10 0. .1 1. .2 2键键 管管理理 控制10.1.2和相关的实施指导和ISO / IEC 27002规定的其他信息应用。 1111物物理理和和环环境境安安全全 1 11 1. .1 1安安全全区区域域 指定在ISO / IEC 27002的目标,内容,时间:2013年11.1,适用。 BS ISO / IEC 27018日 期:2014 I IS SO O / / I IE EC C 2 27 70 01 18 8日日期期: 9ISO / IEC 2014 - 保留所有权 1 11 1. .2 2设设备备 在ISO / IEC 27002规定的目标:到2013年,11.2适用。 1 11 1. .2 2. .1 1设设备备安安置置和和保保护护 控制11.2.1和ISO / IEC 27002规定的相关实施指南适用。 1 11 1. .2 2. .2 2支支持持工工具具 控制11.2.2和相关的实施指导和ISO / IEC 27002规定的其他信息应用。 1 11 1. .2 2. .3 3布布线线安安全全 控制11.2.3和ISO / IEC 27002规定的相关实施指南适用。 1 11 1. .2 2. .4 4设设备备维维修修 控制11.2.4和ISO / IEC 27002规定的相关实施指南适用。 1 11 1. .2 2. .5 5切切除除 资资产产 控制11.2.5和相关的实施指导和ISO / IEC 27002规定的其他信息应用。 1 11 1. .2 2. .6 6设设备备的的安安全全性性和和资资产产场场外外 控制11.2.6和相关的实施指导和ISO / IEC 27002规定的其他信息应用。 1 11 1. .2 2. .7 7安安全全处处置置或或再再利利用用设设备备 控制11.2.7和相关的实施指导和ISO / IEC 27002规定的其他信息应用。以下具体部门的指导也 同样适用。 公公共共云云P PI II I保保护护实实施施指指南南 对于安全处置或再利用,包括设备的存储介质是可能包含个人身份信息的目的,应被视为尽 管它。 NOTEAdditional 控制和指导的相关固定处理或再利用的设备可发现 A.10.13。 1 11 1. .2 2. .8 8无无人人值值守守的的用用户户设设备备 控制11.2.8和ISO / IEC 27002规定的相关实施指南适用。 1 11 1. .2 2. .9 9清清除除服

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论