ISO27018-信息技术 - 安全技术 - 作为PII处理者的公有云中保护个人可识别信息(PII)的操作规范

1、信息技术 - 安全技术 - 作为PII处理者的公有云中保护个人可识别信息（PII）的操作规范0简介0.1背景和背景根据合同处理其客户的个人身份信息（PII）的云服务提供商必须以允许双方满足保护PII的适用法律和法规要求的方式运营其服务。云服务提供商与其客户之间划分要求的方式和方式因法律管辖权以及云服务提供商与客户之间的合同条款而异。管理PII如何被处理（即收集，使用，转让和处置）的立法有时被称为数据保护立法; PII有时被称为个人数据或个人信息。 PII处理者的义务因管辖区而异，这使得提供云计算服务的企业在跨国运营方面面临挑战。公有云服务提供商在根据云服务租户的指示处理PII时是“PII处理者

2、”。与公有云PII处理者具有合同关系的云服务租户可以是自然人，“PII主体”，在云中处理他或她自己的PII，到组织，“PII控制者”，处理与许多PII原则有关的PII。云服务租户可以授权与其关联的一个或多个云服务用户根据其与公有云PII处理者的合同使用可用的服务。请注意，云服务租户拥有处理和使用数据的权限。同时也是PII控制者的云服务租户可能受到比公有云PII处理者更广泛的管理PII保护的义务。保持PII控制者和PII处理者之间的区别依赖于公有云PII处理者，该处理者不具有除云服务租户针对其处理的PII设置的数据处理目标以及实现云服务租户目标所必需的操作之外的数据处理目标。注意如果公有云PII

3、处理者正在处理云服务租户帐户数据，则可能是为此目的充当PII控制者。本国际标准不包括此类活动。当与ISO / IEC 27002中的信息安全目标和控制结合使用时，本国际标准的目的是创建一组通用的安全类别和控制，可由作为PII的公有云计算服务提供商实施。处理者。它有以下目标。 - 为了帮助公有云服务提供商在充当PII处理者时遵守适用的义务，这些义务是直接还是通过合同落在PII处理者上。 - 使公有云PII处理者在相关事务上保持透明，以便云服务租户可以选择管理良好的基于云的PII处理服务。 - 协助云服务租户和公有云PII处理者签订合同协议。 - 为云服务租户提供执行审计和合规权利和责任的机制，以

4、便在多方，虚拟化服务器（云）环境中托管的数据的单个云服务租户审计在技术上可能不切实际并且可能增加那些风险物理和逻辑网络安全控制到位。本国际标准并未取代适用的法律法规，但可以为公有云服务提供商提供通用的合规框架，特别是那些在跨国市场运营的公有云服务提供商。0.2 PII保护控制公有云计算服务本国际标准旨在供组织在实施基于ISO / IEC 27001的云计算信息安全管理系统的过程中选择PII保护控制，或作为实施组织普遍接受的PII保护控制的指导文件。充当公有云PII处理者。特别是，该国际标准基于ISO / IEC 27002，考虑了那些可能适用于作为PII处理者的公有云计算服务提供商的PII保护

5、要求所产生的特定风险环境。通常，实施ISO / IEC 27001的组织正在保护自己的信息资产。但是，在作为PII处理者的公有云服务提供商的PII保护要求的背景下，组织正在保护其客户委托给它的信息资产。公有云PII处理者实现ISO / IEC 27002的控制既适用于此目的也是必要的。本国际标准增强了ISO / IEC 27002控制，以适应风险的分布式性质以及云服务租户与公有云PII处理者之间存在的合同关系。本国际标准以两种方式增强了ISO / IEC 27002： - 为某些现有的ISO / IEC 27002控制提供适用于公有云PII保护的实施指南，以及 - 附件A提供了一组附加控制和相

6、关指南，旨在解决现有ISO / IEC 27002控制集未解决的公有云PII保护要求。本国际标准中的大多数控制和指导也适用于PII控制者。但是，在大多数情况下，PII控制者将承担此处未指定的其他义务。0.3 PII保护要求组织必须确定其保护PII的要求。有三个主要的要求来源，如下所示。a）法律，法定，监管和合同要求：一个来源是组织，其贸易伙伴，承包商和服务提供商必须满足的法律，法定，监管和合同要求和义务，以及他们的社会文化责任和运营环境。应该指出的是，PII处理者制定的立法，法规和合同承诺可能要求选择特定的控制措施，也可能需要实施这些控制措施的具体标准。这些要求因司法管辖区而异。b）风险：另一

7、个来源是评估与PII相关的组织的风险，同时考虑到组织的整体业务战略和目标。通过风险评估，确定威胁，评估发生的脆弱性和可能性，并估计潜在影响。 ISO / IEC 27005提供信息安全风险管理指导，包括风险评估，风险接受，风险沟通，风险监控和风险评估方面的建议。 ISO / IEC 29134提供有关隐私影响评估的指导。c）公司政策：虽然公司政策涵盖的许多方面来自法律和社会文化义务，但组织也可以自愿选择超出a）要求的标准。0.4在云计算环境中选择和实施控件可以从该国际标准中选择控制（其中包括参考ISO / IEC 27002的控制，为范围定义的扇区或应用创建组合参考控制集）。如果需要，还可以从

8、其他控制集中选择控件，或者可以设计新控件以满足特定需求。注：公有云PII处理者提供的PII处理服务可以被视为云计算的应用，而不是其本身的扇区。尽管如此，本国际标准中使用的术语“特定于行业”，因为这是ISO / IEC 27000系列中其他标准中使用的常规术语。控制的选择取决于基于风险接受标准，风险处理选项以及适用于组织的一般风险管理方法的组织决策，以及通过合同协议，其客户和供应商，并且还将受到所有相关国家和国际立法和法规。如果没有选择本国际标准的控制措施，则需要记录这一点，并说明遗漏的理由。此外，控制的选择和实施取决于公有云提供商在整个云计算参考架构的上下文中的实际角色（参见ISO / IEC

9、 17789）。许多不同的组织可以参与在云计算环境中提供基础设施和应用服务。在某些情况下，所选择的控件对于云计算参考架构的特定服务类别可以是唯一的。在其他情况下，实现安全控制可以有共享角色。合同协议需要明确规定参与提供或使用云服务的所有组织的PII保护责任，包括公有云PII处理者，其分包商和云服务租户。本国际标准中的控制可被视为指导原则，适用于大多数组织。下面将更详细地解释它们以及实施指南。如果在公有云PII处理者的信息系统，服务和操作的设计中考虑了保护PII的要求，则可以使实施更简单。这种考虑是概念的一个要素，通常被称为“设计隐私”。参考书目列出了相关文件，如ISO / IEC 29101。

10、0.5制定其他准则本国际标准可视为制定PII保护指南的起点。 可能并非本操作规范中的所有控制和指导都适用。 此外，可能还需要未包含在本国际标准中的其他控制和指南。 当开发包含附加指南或控制的文档时，在适用的本国际标准中包含对条款的交叉引用可能是有用的，以便于审计员和业务合作伙伴进行合规性检查。0.6生命周期考虑因素PII具有自然的生命周期，从创造和起源到储存，加工，使用和传播，再到最终的销毁。 PII的风险在其生命周期中可能有所不同，但PII的保护在所有阶段在某种程度上仍然很重要。当现有和新的信息系统在其生命周期中进行管理时，需要考虑PII保护要求。1范围本国际标准根据ISO / IEC 29

11、100中针对公有云计算环境的隐私原则，建立了普遍接受的控制目标，控制和指导，以实施保护个人身份信息（PII）的措施。特别是，本国际标准规定了基于ISO / IEC 27002的指南，其中考虑了可能适用于公有云服务提供商的信息安全风险环境的PII保护的监管要求。本国际标准适用于所有类型和规模的组织，包括公共和私营公司，政府实体和非营利组织，它们通过与其他组织签订合同的云计算提供作为PII处理者的信息处理服务。本国际标准中的指南也可能与作为PII控制者的组织相关;但是，PII控制者可能会受到额外的PII保护法规，法规和义务的约束，而不适用于PII处理者。本国际标准无意涵盖此类额外义务。2规范性参考

12、文献以下文件的全部或部分内容在本文件中作了规范性引用，并且对于其应用是必不可少的。 凡是注日期的引用文件，仅引用的版本适用。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。ISO / IEC 17788 |建议 ITU-T Y.3500，信息技术 - 云计算 - 概述和词汇1）ISO / IEC 27000：2014，信息技术 - 安全技术 - 信息安全管理系统 - 概述和词汇ISO / IEC 27001：2013，信息技术 - 安全技术 - 信息安全管理系统 - 要求ISO / IEC 27002：2013，信息技术 - 安全技术 - 信息安全控制的操作规范ISO /

13、 IEC 29100：2011，信息技术 - 安全技术 - 隐私框架3术语和定义出于本文档的目的，ISO / IEC 17788，ISO / IEC 27000和以下内容中给出的术语和定义适用。3.1数据泄露危害安全导致意外或非法破坏，丢失，篡改，未经授权披露或访问传输，存储或以其他方式处理的受保护数据来源：ISO / IEC 27040：- 2），3.73.2个人身份信息PII任何可用于识别与此信息相关的PII主体的信息，或者是或可能与PII主体直接或间接相关的信息注1：为了确定PII主体是否可识别，应考虑所有可以由持有数据的隐私权利人或任何其他方合理使用的方法来识别该自然人。来源：ISO

14、/ IEC 29100：2011,2.9注2：该定义用于定义本国际标准中使用的术语PII。公有云PII处理者通常无法明确了解其处理的信息是否属于任何指定类别，除非云服务租户将其透明化。3.3PII控制者隐私利益相关者是决定处理个人身份信息（PII）的目的和方法的人，而不是将数据用于个人目的的自然人注1：PII控制者有时会指示其他人（例如PII处理者）代表其处理PII，而处理的责任仍由PII控制者负责。来源：ISO / IEC 29100：2011,2.103.4PII主体与个人身份信息（PII）相关的自然人注1：根据管辖区域和特定的PII保护和隐私法规，也可以使用同义词“数据主体”代替术语“P

15、II主体”。来源：ISO / IEC 29100：2011,2.113.5 PII处理者隐私利益相关方代表并按照PII控制人员的指示处理个人身份信息（PII）来源：ISO / IEC 29100：2011,2.123.6 PII的处理对个人身份信息（PII）执行的操作或一组操作注1：PII的处理操作的示例包括但不限于PII的收集，存储，更改，检索，咨询，公开，匿名化，假名化，传播或以其他方式提供，删除或销毁。 来源：ISO / IEC 29100：2011,2.233.7公有云服务提供商根据公有云模型提供云服务的一方4概述4.1本标准的结构该国际标准具有与ISO / IEC 27002类似的结

16、构。如果ISO / IEC 27002中规定的目标和控制适用而无需任何其他信息，则仅提供ISO / IEC 27002的参考。附件A（规范性）中描述了适用于云计算服务提供商PII保护的相关实施指南。如果控制需要适用于云计算服务提供商的PII保护的其他指导，则在公有云PII保护实施指南标题下给出。在某些情况下，在“公有云PII保护的其他信息”标题下提供了增强附加指南的更多相关信息。如表1所示，此类行业专用指南和信息包含在ISO / IEC 27002中定义的类别中。与ISO / IEC 27002中相应的条款编号一致的条款编号如表中所示。表1 - ISO / IEC 27002中实施控制的行业指

17、南和其他信息的位置条款编号标题备注5信息安全政策提供了针对特定行业的实施指南和其他信息。6组织信息安全提供了针对特定行业的实施指南。7人力资源安全提供了针对特定行业的实施指南和其他信息。8资产管理没有提供额外的部门特定实施指南或其他信息。9访问控制提供了针对特定行业的实施指南，以及对附件A中控制的交叉引用。10加密提供了针对特定行业的实施指南。11物理和环境安全提供了针对特定行业的实施指南，以及对附件A中控制的交叉引用。12运营安全提供了针对特定行业的实施指南。13通信安全提供了针对特定行业的实施指南，以及对附件A中控制的交叉引用。14系统的获取，开发和维护没有提供额外的部门特定实施指南或其他

18、信息。15供应商关系没有提供额外的部门特定实施指南或其他信息。16信息安全事件管理提供了针对特定行业的实施指南。17业务连续性管理的信息安全方面没有提供额外的部门特定实施指南或其他信息。18合规提供了针对特定行业的实施指南，以及对附件A中控制的交叉引用。4.2控制类别根据ISO / IEC 27002，每个主要控制类别包含：a）控制目标，说明要实现的目标b）可用于实现控制目标的一个或多个控制。控制描述的结构如下：控制定义特定控制语句以满足控制目标。公有云PII保护实施指南提供更详细的信息以支持控制的实施和满足控制目标。在所有情况下，指南可能不完全适合或不充分，并且可能无法满足组织的特定控制要求

19、。因此，替代或额外控制或其他形式的风险处理（避免，转移或接受风险）可能是适当的。有关公有云PII保护的其他信息提供可能需要考虑的进一步信息，例如法律考虑因素和对其他标准的引用。5信息安全政策5.1信息安全管理方向ISO / IEC 27002：2013,5.1中规定的目标适用。5.1.1信息安全政策ISO / IEC 27002中规定的控制5.1.1、相关实施指南和其他信息适用。以下行业特定指南也适公有云PII保护实施指南信息安全政策应通过有关支持和承诺遵守适用的PII保护法规以及公有云PII处理者与其客户（云服务租户cloud service customer）之间达成的合同条款的声明来加强

20、。合同协议应明确分配公有云PII处理者，其分包商和云服务租户之间的职责，同时考虑所涉及的云服务的类型（例如，云计算参考的IaaS，PaaS或SaaS类别的服务）。例如，应用层控制的责任分配可能会有所不同，具体取决于公有云PII处理者是提供SaaS服务还是提供PaaS或IaaS服务，云服务租户可以在其上构建或分层自己的应用程序。有关公有云PII保护的其他信息在某些司法管辖区，公有云PII处理者直接受PII保护法规的约束。在其他地方，PII保护立法仅适用于PII控制者。云服务租户和公有云PII处理者之间的合同提供了一种确保公有云PII处理者有义务支持和管理合规性的机制。合同可以要求独立审计的合规性

21、，可以被云服务租户接受，例如，通过实施本国际标准和ISO / IEC 27002中的相关控制。5.1.2审查信息安全政策ISO / IEC 27002中规定的控制5.1.2及相关实施指南适用。6组织信息安全6.1内部组织ISO / IEC 27002：2013,6.1中规定的目标适用。6.1.1信息安全角色和职责ISO / IEC 27002中规定的控制6.1.1、相关实施指南和其他信息适用。以下行业特定指南也适用。公有云PII保护实施指南公有云PII处理者应指定一个联络点，供云服务租户根据合同处理PII。6.1.2职责分离ISO / IEC 27002中规定的控制6.1.2、相关实施指南和其

22、他信息适用。6.1.3与当局联系ISO / IEC 27002中规定的控制6.1.3、相关实施指南和其他信息适用。6.1.4与特殊利益集团联系ISO / IEC 27002中规定的控制6.1.4、相关实施指南和其他信息适用。6.1.5项目管理中的信息安全ISO / IEC 27002中规定的控制6.1.5、相关实施指南和其他信息适用。6.2移动设备和远程办公适用ISO / IEC 27002：2013,6.2中规定的目标和内容。7人力资源安全7.1就业前适用ISO / IEC 27002：2013,7.1中规定的目标和内容。7.2就业期间ISO / IEC 27002：2013,77中规定的目

23、标适用。7.2.1管理职责ISO / IEC 27002中规定的控制7.2.1、相关实施指南和其他信息适用。7.2.2信息安全意识，教育和培训ISO / IEC 27002中规定的控制7.2.2、相关实施指南和其他信息适用。以下行业特定指南也适用。公有云PII保护实施指南应采取措施，使相关工作人员了解公有云PII处理者（例如法律后果，业务损失和品牌或声誉损害），工作人员（例如纪律后果）和PII负责人（例如，物质的和情感后果）违反隐私或安全规则和程序，尤其是那些涉及PII处理的规则和程序可能产生的后果。有关公有云PII保护的其他信息在某些司法管辖区，公有云PII处理者可能会受到法律制裁，包括直接

24、从当地PII保护机构处以巨额罚款。在其他司法管辖区，在建立公有云PII处理者和云服务租户之间的合同时使用此类国际标准有助于为违反安全规则和程序的合同制裁奠定基础。7.2.3纪律程序ISO / IEC 27002中规定的控制7.2.3、相关实施指南和其他信息适用。7.3终止和改变就业ISO / IEC 27002：2013,7.3中规定的目标和内容适用。8资产管理适用ISO / IEC 27002：2013第8章中规定的目标和内容。9访问控制9.1访问控制的业务要求适用ISO / IEC 27002：2013,9.1中规定的目标和内容。9.2用户访问管理ISO / IEC 27002：2013,

25、99中规定的目标适用。以下针对特定行业的指南也适用于本子条款（9.2）下所有控制措施的实施。公有云PII保护实施指南在云计算参考架构的服务类别的上下文中，云服务租户可以负责其控制下的云服务用户的访问管理的部分或全部方面。在适当的情况下，公有云PII处理者应该允许云服务租户（cloud service customers）能够管理其控制下的云服务用户（cloud service users）的访问，例如通过提供管理或终止访问的管理权限。9.2.1用户注册和注销ISO / IEC 27002中规定的控制9.2.1、相关实施指南和其他信息适用。以下行业特定指南也适用。公有云PII保护实施指南用户注册

26、和注销的程序应能够处理用户访问控制受到损害的情况，例如密码或其他用户注册数据的损坏或损害（例如，由于无意泄露）。注：个别司法管辖区可能会对未使用的身份验证凭据的检查频率施加特定要求。在这些司法管辖区运营的组织应确保其符合这些要求。9.2.2用户访问配置ISO / IEC 27002中规定的控制9.2.2、相关实施指南和其他信息适用。9.2.3特权访问权限的管理ISO / IEC 27002中规定的控制9.2.3、相关实施指南和其他信息适用。9.2.4管理用户的秘密认证信息ISO / IEC 27002中规定的控制9.2.4、相关实施指南和其他信息适用。9.2.5审核用户访问权限ISO / IE

27、C 27002中规定的控制9.2.5、相关实施指南和其他信息适用。9.2.6删除或调整访问权限ISO / IEC 27002中规定的控制9.2.6、相关实施指南和其他信息适用。9.3用户责任ISO / IEC 27002：2013,99中规定的目标适用。9.3.1使用秘密认证信息ISO / IEC 27002中规定的控制9.3.1及相关实施指南适用。9.4系统和应用程序访问控制ISO / IEC 27002：2013,94中规定的目标适用。9.4.1信息访问限制ISO / IEC 27002中规定的控制9.4.1及相关实施指南适用。注：有关信息访问限制的附加控制和指南可在A.10.13中找到。

28、9.4.2安全登录程序ISO / IEC 27002中规定的控制9.4.2、相关实施指南和其他信息适用。以下行业特定指南也适用。公有云PII保护实施指南如果需要，公有云PII处理者应提供安全登录过程给云服务租户为其控制下的云服务用户请求的任何帐户。9.4.3密码管理系统ISO / IEC 27002中规定的控制9.4.3、相关实施指南和其他信息适用。9.4.4使用特权实用程序ISO / IEC 27002中规定的控制9.4.4、相关实施指南和其他信息适用。9.4.5程序源代码的访问控制ISO / IEC 27002中规定的控制9.4.5、相关实施指南和其他信息适用。10密码学10.1加密控件I

29、SO / IEC 27002：2013,10.1中规定的目标适用。10.1.1使用加密控制的政策ISO / IEC 27002中规定的控制10.1.1、相关实施指南和其他信息适用。以下行业特定指南也适用。公有云PII保护实施指南公有云PII处理者应向云服务租户提供有关其使用加密技术来保护其处理的PII的情况的信息。公有云PII处理者还应向云服务租户提供信息，说明其所能提供的可以帮助云服务租户应用加密保护的所有功能。注：在某些司法管辖区，可能需要应用加密技术来保护特定类型的PII，例如有关PII主体的健康数据，居民注册号，护照号和驾驶执照号。10.1.2密钥管理ISO / IEC 27002中规

30、定的控制10.1.2、相关实施指南和其他信息适用。11物理和环境安全11.1安全区域ISO / IEC 27002：2013,11.1中规定的目标和内容适用。11.2设备ISO / IEC 27002：2013,11.2中规定的目标适用。11.2.1设备选址和保护ISO / IEC 27002中规定的控制11.2.1及相关实施指南适用。11.2.2支持公用事业ISO / IEC 27002中规定的控制11.2.2、相关实施指南和其他信息适用。11.2.3布线安全性ISO / IEC 27002中规定的控制11.2.3及相关实施指南适用。11.2.4设备维护ISO / IEC 27002中规定的

31、控制11.2.4及相关实施指南适用。11.2.5资产的清除ISO / IEC 27002中规定的控制11.2.5、相关实施指南和其他信息适用。11.2.6场外设备和资产的安全ISO / IEC 27002中规定的控制11.2.6、相关实施指南和其他信息适用。11.2.7安全处置或重复使用设备ISO / IEC 27002中规定的控制11.2.7、相关实施指南和其他信息适用。以下行业特定指南也适用。公有云PII保护实施指南出于安全处置或重复使用的目的，针对可能含有PII信息的存储介质应该与确实含有PII信息的存储介质一样处理。注：有关安全处置或重复使用设备的附加控制和指南，请参见A.10.13。

32、11.2.8无人值守的用户设备ISO / IEC 27002中规定的控制11.2.8及相关实施指南适用。11.2.9清除桌面和清除屏幕策略ISO / IEC 27002中规定的控制11.2.9、相关实施指南和其他信息适用。12运营安全12.1操作程序和责任ISO / IEC 27002：2013,12.1中规定的目标适用。12.1.1记录的操作程序ISO / IEC 27002中规定的控制12.1.1及相关实施指南适用。12.1.2变更管理ISO / IEC 27002中规定的控制12.1.2、相关实施指南和其他信息适用。12.1.3容量管理ISO / IEC 27002中规定的控制12.1.

33、3、相关实施指南和其他信息适用。12.1.4开发，测试和操作环境的分离ISO / IEC 27002中规定的控制12.1.4、相关实施指南和其他信息适用。以下行业特定指南也适用。公有云PII保护实施指南如果无法避免将PII用于测试目的，则应进行风险评估。应实施技术和组织措施，以尽量减少所识别的风险。12.2防范恶意软件适用ISO / IEC 27002：2013,12.2中规定的目标和内容。12.3备份ISO / IEC 27002：2013,12.3中规定的目标适用。12.3.1信息备份ISO / IEC 27002中规定的控制12.3.1、相关实施指南和其他信息适用。以下行业特定指南也适用

34、。公有云PII保护实施指南基于云计算模型的信息处理系统为场外备份引入了附加或替代机制，以防止数据丢失，确保数据处理操作的连续性，并提供在破坏性事件之后恢复数据处理操作的能力。为了备份和/或恢复的目的，应该创建或维护物理和/或逻辑上不同的位置（可以在信息处理系统本身内）的多个数据副本。在这方面，PII特定的职责可能在于云服务租户。在公有云PII处理者明确向云服务租户提供备份和恢复服务的情况下，公有云PII处理者应向云服务租户提供关于云服务租户数据备份和恢复的能力的明确信息。注1：各个司法管辖区可能对备份频率施加特定要求。在这些司法管辖区运营的组织应确保其符合这些要求。应制定程序，以便在中断事件发

35、生后的指定的、有记录的时间段内恢复数据处理操作。应按指定的记录频率审查备份和恢复程序。注2：个别司法管辖区可能对备份和恢复程序的审查频率提出具体要求。在这些司法管辖区运营的组织应确保其符合这些要求。使用分包商来存储正在处理的数据的复制或备份副本，本国际标准中的控制适用于分包的PII处理。在进行物理媒体传输的地方，本国际标准中的控制也涵盖了相关控制要求。公有云PII处理者应具有满足信息备份要求的政策以及为备份目的而保留的信息中包含的PII的擦除的任何进一步要求（例如合同和/或法律要求）。12.4记录和监控ISO / IEC 27002：2013,12.4中规定的目标适用。12.4.1事件记录IS

36、O / IEC 27002中规定的控制12.4.1、相关实施指南和其他信息适用。以下行业特定指南也适用。公有云PII保护实施指南应该建立一个流程来审查具有指定的，记录的周期性的事件日志，以识别违规行为并提出补救措施。在可能的情况下，事件日志应记录PII是否由于事件被更改和由谁更改（添加，修改或删除）。在多个服务提供商参与从云计算参考架构的不同服务类别提供服务的情况下，在实现该指南时可能存在各种或共同的角色。公有云PII处理者应定义关于是否，何时以及如何使云服务租户可以访问或可以使用日志信息的标准。应该向云服务租户提供这些过程。如果允许云服务租户访问由公有云PII处理者控制的日志记录，则公有云P

37、II处理者应确保云服务租户只能访问与该云服务租户的活动相关的记录，并且不能访问任何与其他云服务租户活动有关的日志记录。12.4.2保护日志信息ISO / IEC 27002中规定的控制12.4.2、相关实施指南和其他信息适用。以下行业特定指南也适用。公有云PII保护具体实施指导为安全监控和操作诊断等目的而记录的日志信息可能包含PII。应该采取措施，例如控制访问（见9.2.3），以确保记录的信息仅用于其预期目的。应建立一个程序，最好是自动程序，以确保在指定和记录的时间段内删除记录的信息。12.4.3管理员和操作员日志ISO / IEC 27002中规定的控制12.4.3、相关实施指南和其他信息适

38、用。12.4.4时钟同步ISO / IEC 27002中规定的控制12.4.4、相关实施指南和其他信息适用。12.5操作软件的控制适用ISO / IEC 27002：2013,12.5中规定的目标和内容。12.6技术漏洞管理ISO / IEC 27002：2013,12.6中规定的目标和内容适用。12.7信息系统审计考虑因素ISO / IEC 27002：2013,12.7中规定的目标和内容适用。13通信安全13.1网络安全管理ISO / IEC 27002：2013,13.1中规定的目标和内容适用。13.2信息传递ISO / IEC 27002：2013,13.2中规定的目标适用。13.2.

39、1信息传输政策和程序ISO / IEC 27002中规定的控制13.2.1、相关实施指南和其他信息适用。以下行业特定指南也适用。公有云PII保护实施指南无论何时使用物理介质进行信息传输，都应建立一个系统来记录包含PII的传入和传出物理介质，包括物理介质的类型，授权的发件人/收件人，日期和时间以及物理介质的数量。 。在可能的情况下，应要求云服务租户采取其他措施（例如加密），以确保只能在目的地而非途中访问数据。13.2.2信息传递协议ISO / IEC 27002中规定的控制13.2.2、相关实施指南和其他信息适用。13.2.3电子信息ISO / IEC 27002中规定的控制13.2.3、相关实

40、施指南和其他信息适用。13.2.4保密或不披露协议ISO / IEC 27002中规定的控制13.2.4、相关实施指南和其他信息适用。注：有关保密或保密协议的其他控制和指导可在A.10.1中找到。14系统采购，开发和维护适用ISO / IEC 27002：2013第14章中规定的目标和内容。15供应商关系适用ISO / IEC 27002：2013第15章中规定的目标和内容。注：有关供应商关系管理的更多信息可从ISO / IEC 270364获得。16信息安全事件管理16.1信息安全事件和改进的管理ISO / IEC 27002：2013,16.1中规定的目标适用。以下行业特定指南也适用于本款

41、（16.1）下所有控制措施的实施。公有云PII保护实施指南在整个云计算参考架构的背景下，在信息安全事件的管理和改进中可能存在共享角色。可能需要公有云PII处理者与云服务租户合作以实现本子条款中的控制。16.1.1责任和程序ISO / IEC 27002中规定的控制16.1.1、相关实施指南和其他信息适用。以下行业特定指南也适用。公有云PII保护实施指南作为信息安全事件管理流程的一部分，信息安全事件应触发公有云PII处理者的审查，以确定是否发生了涉及PII的数据泄露（见A.9.1）。如果信息安全事件不会导致未经授权访问PII或存储PII的任何公有云PII处理者设备或设施，则不一定会触发这样的审查

42、。该类事件可能包括但不限于对防火墙或边缘服务器的ping和其他广播攻击、端口扫描、不成功的登录尝试、拒绝服务攻击和数据包嗅探。16.1.2报告信息安全事件ISO / IEC 27002中规定的控制16.1.2、相关实施指南和其他信息适用。16.1.3报告信息安全漏洞ISO / IEC 27002中规定的控制16.1.3、相关实施指南和其他信息适用。16.1.4信息安全事件的评估和决策ISO / IEC 27002中规定的控制16.1.4及相关实施指南适用。16.1.5对信息安全事件的响应ISO / IEC 27002中规定的控制16.1.5、相关实施指南和其他信息适用。16.1.6学习信息安全

43、事件ISO / IEC 27002中规定的控制16.1.6、相关实施指南和其他信息适用。16.1.7收集证据ISO / IEC 27002中规定的控制16.1.7、相关实施指南和其他信息适用。17业务连续性管理的信息安全方面适用ISO / IEC 27002：2013第17章中规定的目标和内容。18合规18.1遵守法律和合同要求适用ISO / IEC 27002：2013,18.1中规定的目标和内容。注：有关遵守法律和合同要求的其他控制和指导可在A.11中找到。18.2信息安全审查ISO / IEC 27002：2013,18.2中规定的目标适用。18.2.1信息安全的独立审查ISO / IE

44、C 27002中规定的控制18.2.1、相关实施指南和其他信息适用。以下行业特定指南也适用。公有云PII保护实施指南如果个别云服务租户审计不可行或可能增加安全风险的情况下（参见0.1），应在签订合同之前和合同期间向潜在云服务客户提供独立证据，证明信息安全是根据公有云PII处理者的政策和程序来实现和操作的。公有云PII处理者可选择相关独立审计来满足云服务租户审计公有云PII处理者处理操作的要求，前提是提供足够的透明度。18.2.2遵守安全政策和标准ISO / IEC 27002中规定的控制18.2.2、相关实施指南和其他信息适用。18.2.3技术合规性审查ISO / IEC 27002中规定的控

45、制18.2.3、相关实施指南和其他信息适用。附件A.（规范性附录）公有云PII处理者扩展PII保护控制集本附件规定了新的控制措施和相关的实施指南，结合ISO / IEC 27002中的增强控制和指导（见第5至18条），构成了一个扩展控制集，以适用于公有云服务提供商充当PII处理者情况下的PII保护要求。这些附加控制根据ISO/IEC 29100的11项隐私原则进行分类。在许多情况下，这些控制可以根据多个隐私原则进行分类。在这种情况下，它们根据最相关的原则进行分类。A.1同意和选择A.1.1有关PII主体权利的合作义务控制公有云PII处理者应向云服务租户提供手段，使其能够履行其义务，以便利PII

46、主体行使访问、更正和/或删除与其相关的PII的权利。公有云PII保护实施指南PII控制者在这方面的义务可以通过法律，法规或合同来定义。这些义务可能包括云服务租户使用公有云PII处理者服务实施的事项。例如，这可能包括及时纠正或删除PII。PII控制者依赖公有云PII处理者进行信息或技术措施以便PII主体行使权利的，相关信息或技术措施应在合同中约定。A.2目的合法性和规范A.2.1公有云PII处理者的目的控制根据合同处理的PII，不应独立于云服务客户的指示进行处理，无论出于什么目的。公有云PII保护实施指南操作指南可以包含在公有云PII处理者和云服务租户之间的合同中，包括例如，服务要达到的目标和时

47、限。为了实现云服务租户的目的，可能存在技术原因导致公有云PII处理者更适合决定处理PII的方法，该方法符合云服务租户的一般选择，但没有云服务租户的明示说明。例如，为了有效地利用网络或处理能力，可能需要根据PII主体的某些特征分配特定的处理资源。在公有云PII处理者确定处理方法涉及PII收集和使用的情况下，公有云PII处理者应遵守ISO/IEC 29100中规定的相关隐私原则。公有云PII处理者应及时向云服务租户提供所有相关信息，以允许云服务租户确保公有云PII处理者符合目的规范和限制原则，确保公有云PII处理者或任何分包商不会为与云服务租户指示无关的其他目的而处理PII。A.2.2公有云PII

48、处理者的商业用途控制未经明确同意，公有云PII处理者不得将基于合同处理的PII用于营销和广告目的。此类同意不应成为接收服务的条件。注：此控制是A.2.1中更一般控制的补充，不替换或以其他方式取代它。A.3收集限制没有其他控制措施与此隐私原则相关。A.4数据最小化A.4.1安全擦除临时文件控制临时文件和文件应在指定的记录期内删除或销毁。公有云PII保护实施指南关于PII擦除的实施指南见A.10.11。信息系统可以在其正常操作过程中创建临时文件。此类文件属于特定的系统或应用程序，但可能包括与数据库更新和其他应用程序软件的操作相关联的文件系统回滚日志和临时文件。相关信息处理任务完成后不需要临时文件，

49、但有些情况下可能不会删除它们。这些文件保持使用的时间长度并不总是确定的，但“垃圾收集”程序应识别相关文件并确定自上次使用以来已经存在多长时间。PII处理信息系统应实施定期检查，删除指定保存时间以上的未使用临时文件。A.5使用，保留和披露限制A.5.1 PII披露通知控制公有云PII处理者与云服务租户之间的合同，应要求公有云PII处理者根据合同中约定的程序和段，将来自执法机关的任何具有法律约束力的PII披露请求通知云服务租户，除非另有禁止。公有云PII处理者应提供合同保证，拒绝任何不具有法律约束力的PII披露请求，在进行任何PII披露之前，在法律允许的情况下咨询相应的云服务租户，并接受相应云服务

50、租户授权的任何合同约定下的PII披露请求。可能禁止披露的一个例子是为保护执法调查的机密性而根据刑法禁止披露相关信息。A.5.2记录PII披露控制应记录对第三方的PII披露，包括已披露的PII，向谁以及在何时披露。公有云PII保护实施指南可以在正常操作过程中公开PII。应记录这些披露（见12.4.1）。还应记录对第三方的任何其他披露，例如合法调查或外部审计所产生的披露。记录应包括披露请求的来源和进行披露的授权来源。A.6准确性和质量没有其他控制措施与此隐私原则相关。A.7开放性，透明度和通知A.7.1披露分包的PII处理控制公有云PII处理者使用分包商处理PII应在使用前向相关云服务租户披露。公

51、有云PII保护实施指南在公有云PII处理者和云服务租户之间的合同中，使用分包商处理PII的规定应该是透明的。合同应规定分包商只能在服务开始时且经过云服务租户同意的基础上进行委托。公有云PII处理者应及时通知云服务租户这方面的任何变更，以便云服务租户能够拒绝此类变更或终止合同。披露的信息应包括使用分包的事实和相关分包商名称，但不包括任何特定于业务的细节。披露的信息还应包括分包商在哪个国家处理数据（见A.11.1）以及分包商有义务达到或超过公有云PII处理者义务的手段（见A.10.12）。如果评估分包商信息的公开披露以增加超出可接受限度的安全风险，则应根据保密协议和/或应云服务租户的要求进行披露。

52、应该让云服务租户知道该信息是可用的。A.8个人参与和访问没有其他控制措施与此隐私原则相关。A.9问责制A.9.1涉及PII的数据泄露的通知控制如果未经授权访问PII或未经授权访问处理设备或设施导致PII丢失，泄露或更改，公有云PII处理者应立即通知相关云服务租户。公有云PII保护实施指南涉及PII数据泄露通知的规定应属于公有云PII处理者与云服务租户之间合同的一部分。合同应规定公有云PII处理者如何提供云服务租户履行其通知相关机构的义务所必需的信息。此通知义务不适用于云服务租户或PII主体及其负责的系统组件内造成的数据泄露。合同还应规定涉及PII的数据泄露通知的最大延迟。如果发生涉及PII的数

53、据泄露事件，则应保留一份记录，其中包括事件描述，事件时间，事件后果，记录者姓名，事件报告对象，采取的步骤解决事件（包括负责人和数据恢复）以及事件导致PII丢失，披露或变更的事实。如果发生涉及PII的数据泄露，该记录还应包括受损数据的描述（如果已知）;如果需要执行通知，则采取步骤通知云服务租户和/或监管机构。在某些司法管辖区，相关法律或法规可能要求公有云PII处理者直接通知适当的监管机构（例如PII保护机构）涉及PII的数据泄露。注意可能存在其他需要通知但此处未涉及的违规行为，例如：未经许可或其他授权收集，未经授权使用等。A.9.2行政安全政策和指南的保留期限控制安全政策和操作程序的副本应在更换

54、（包括更新）后的一段时间内保留，保留时长应明确规定并文件化记录。公有云PII保护实施指南可能需要审查当前和历史政策和程序，例如在客户争议解决和PII保护机构调查的情况下。如果没有特定的法律或合同要求，建议最短保留期为五年。 A.9.3 PII退货，转让和处置控制公有云PII处理者应该有关于PII的返还，传输和/或处置的策略，并且云服务租户应该可使用该策略。在某个时间点，PII可能需要以某种方式处理。这可能涉及将PII返还给云服务租户，将其转移到另一个公有云PII处理者或PII控制者（例如，作为兼并的结果），安全地删除或以其他方式销毁它，对其进行匿名化或归档。公有云PII处理者应提供必要的信息，

55、以允许云服务租户确保根据合同处理的PII（由公有云PII处理者及其任何分包商）从存储的任何位置删除，包括出于备份和业务连续性的目的保存的副本，只要它们不再是云服务租户的特定目的所必需的。应以合同形式明确处置机制（删除，覆盖，消磁，销毁或其他形式的擦除）和/或适用的商业标准。公有云PII处理者应制定并实施有关PII处置的策略，并应将此策略提供给云服务租户。该政策应涵盖PII在合同终止后销毁之前的保留期，以保护云服务租户在合同意外失效时失去PII。注：该控制和指导也与“使用，保留和公开限制”原则的保留要素相关（见A.5）。A.10信息安全A.10.1保密协议或保密协议控制公有云PII处理者控制下的可以访问PII的个人应遵守保密义务。公有云PII保护实施指南公有云PII处理者，其员工及其代理之间以任何形式签订的保密协议应确保员工和代理不会出于与云服务租户的指示无关的目的披露PII（参见A.2.1）。保密协议的义务应在任何相关合同终止后继续有效。A.10.2限制硬拷贝材料的制作控制应该限制显示PII的硬拷贝材料的创建。公有云PII保护实施指南硬拷贝材料包括通过印刷产生的材料。A.10.3数据恢复的控制和记录控制应该有数据恢复工作的程序