ISO/IEC 27018:2019 新版標準變化
發布時間:2025-08-05 點擊:10
國際標準化組織(ISO)已發布了ISO27018 的第二版:ISO/IEC 27018:2019,該指南是針對處理個人身份信息(PII)的云服務提供商的指南,該指南最初于2014年發布。
眾所周知,信息技術世界和保護個人身份信息是一個不斷發展的問題。 我們在這里討論了ISO/IEC 27018:2019與其他關鍵法規(例如GDPR)之間的相互作用。
現在,有了ISO提出的這一新指南ISO/IEC 27018:2019,就引出了一個問題:這是主要變化還是次要變化?
簡短的答案嵌入在第2節的序言中:“第二版取消并替代了第一版(ISO/IEC 27018:2014),該第一版構成較小的修訂。 與上一版相比,主要變化是對附件A中編輯錯誤的更正。”
這意味著,對于大多數意圖和目的,ISO/IEC 27018:2019中規定的指南在很大程度上保持不變,但有一些警告。 注意:
1)任何對ISO/IEC 27018:2019作為國際標準的引用均已修改,以反映它現在是“文檔”。
這源于技術性,即ISO/IEC 27018:2019并非組織可以依據的標準,而是控制和指南的附加子集,可以增強組織現有的信息安全管理系統,而該系統也將通過ISO 27001(信息安全)進行認證。管理體系標準。
2)對某些輔助動詞進行次要更新,以更恰當地滿足不同行業組織的獨特需求。
這并不反映對ISO/IEC 27018:2019控件的目的和宗旨的任何徹底改變,而似乎只是ISO方面的一種嘗試,目的是更簡單地介紹組織可以負責的事情。 考慮到2014年版本中大多數“可能”實例已更新為“可以”,這一點很明顯。 盡管文檔中有許多示例,但附件A中的一個此類實例發生在《使用密碼控制政策》的公共云PII實施指南(A.10.1.1)中,其中指出:“公共云PII處理器應提供信息。向云服務客戶提供有關使用加密技術保護其處理的PII的情況的信息。 公共云PII處理器還應向云服務客戶提供有關其提供的任何可以幫助云服務客戶應用其自己的密碼保護功能的信息。
3)在用于PII保護的公共云處理器擴展控制集(以前稱為A1 – A11)的開頭添加了“常規”背景部分。
盡管在本節中未規定任何新的控件,但從技術上來說,添加“常規”節將構成其自己的節,從而將控件集擴展到A1至A12。 隱私原則(即同意和選擇,目的合法性和規范等)保持不變,并且基本控制總體保持不變,除了上面第2節中提到的原則外,沒有任何重大更新。 ISO27018 的上一版在技術上已包括了“常規”部分的確切說明,但未標識為其單獨的部分,此處包括了相關說明:和ISO/IEC 27002中的指南(請參閱第5至18條),構成了擴展的控件集,以滿足對PII保護的要求,這些要求適用于充當PII處理器的公共云服務提供商。 這些附加控件根據ISO/IEC 29100的11隱私原則進行分類。在許多情況下,控件可以根據一種以上的隱私原則進行分類。 在這種情況下,它們將根據最相關的原則進行分類。”
如果您代表的組織已通過ISMS并通過了ISO 27018:2014所規定的控制措施而獲得了ISO 27001認證,則以上信息應可緩解任何有關需要立即進行徹底更改的擔憂。
代辦高新技術企業認定(代辦高新企業申請多少錢)
GJB9001C國軍標質量管理體系介紹,GJB9001C認證申請條件及申請材料
ISO9001質量管理體系的二次內部質量審核
aaa信用等級一共有幾個證書
美國商標申請注冊有哪些流程?
每人每年1萬元!2024年坪山區“聚龍工匠人才”薪酬激勵申報
植物新品種保護及我國植物新品種取得的成果有哪些
質量記錄如何正確填寫?這些要求得知道!
眾所周知,信息技術世界和保護個人身份信息是一個不斷發展的問題。 我們在這里討論了ISO/IEC 27018:2019與其他關鍵法規(例如GDPR)之間的相互作用。
現在,有了ISO提出的這一新指南ISO/IEC 27018:2019,就引出了一個問題:這是主要變化還是次要變化?
簡短的答案嵌入在第2節的序言中:“第二版取消并替代了第一版(ISO/IEC 27018:2014),該第一版構成較小的修訂。 與上一版相比,主要變化是對附件A中編輯錯誤的更正。”
這意味著,對于大多數意圖和目的,ISO/IEC 27018:2019中規定的指南在很大程度上保持不變,但有一些警告。 注意:
1)任何對ISO/IEC 27018:2019作為國際標準的引用均已修改,以反映它現在是“文檔”。
這源于技術性,即ISO/IEC 27018:2019并非組織可以依據的標準,而是控制和指南的附加子集,可以增強組織現有的信息安全管理系統,而該系統也將通過ISO 27001(信息安全)進行認證。管理體系標準。
2)對某些輔助動詞進行次要更新,以更恰當地滿足不同行業組織的獨特需求。
這并不反映對ISO/IEC 27018:2019控件的目的和宗旨的任何徹底改變,而似乎只是ISO方面的一種嘗試,目的是更簡單地介紹組織可以負責的事情。 考慮到2014年版本中大多數“可能”實例已更新為“可以”,這一點很明顯。 盡管文檔中有許多示例,但附件A中的一個此類實例發生在《使用密碼控制政策》的公共云PII實施指南(A.10.1.1)中,其中指出:“公共云PII處理器應提供信息。向云服務客戶提供有關使用加密技術保護其處理的PII的情況的信息。 公共云PII處理器還應向云服務客戶提供有關其提供的任何可以幫助云服務客戶應用其自己的密碼保護功能的信息。
3)在用于PII保護的公共云處理器擴展控制集(以前稱為A1 – A11)的開頭添加了“常規”背景部分。
盡管在本節中未規定任何新的控件,但從技術上來說,添加“常規”節將構成其自己的節,從而將控件集擴展到A1至A12。 隱私原則(即同意和選擇,目的合法性和規范等)保持不變,并且基本控制總體保持不變,除了上面第2節中提到的原則外,沒有任何重大更新。 ISO27018 的上一版在技術上已包括了“常規”部分的確切說明,但未標識為其單獨的部分,此處包括了相關說明:和ISO/IEC 27002中的指南(請參閱第5至18條),構成了擴展的控件集,以滿足對PII保護的要求,這些要求適用于充當PII處理器的公共云服務提供商。 這些附加控件根據ISO/IEC 29100的11隱私原則進行分類。在許多情況下,控件可以根據一種以上的隱私原則進行分類。 在這種情況下,它們將根據最相關的原則進行分類。”
如果您代表的組織已通過ISMS并通過了ISO 27018:2014所規定的控制措施而獲得了ISO 27001認證,則以上信息應可緩解任何有關需要立即進行徹底更改的擔憂。
代辦高新技術企業認定(代辦高新企業申請多少錢)
GJB9001C國軍標質量管理體系介紹,GJB9001C認證申請條件及申請材料
ISO9001質量管理體系的二次內部質量審核
aaa信用等級一共有幾個證書
美國商標申請注冊有哪些流程?
每人每年1萬元!2024年坪山區“聚龍工匠人才”薪酬激勵申報
植物新品種保護及我國植物新品種取得的成果有哪些
質量記錄如何正確填寫?這些要求得知道!