如今，云計(jì)算行業(yè)廠商習(xí)慣于看到服務(wù)提供商對(duì)符合國際標(biāo)準(zhǔn)化組織（ISO）27001信息安全管理體系標(biāo)準(zhǔn)的要求，但是卻很少討論ISO 27018標(biāo)準(zhǔn)，而這是一個(gè)關(guān)于個(gè)人隱私的標(biāo)準(zhǔn)。ISO27018是一個(gè)主要針對(duì)保護(hù)云計(jì)算中個(gè)人數(shù)據(jù)安全的國際標(biāo)準(zhǔn)。

該標(biāo)準(zhǔn)在2014年春季發(fā)布，但在三年之后，ISO 27018還沒有真正滲透到公眾意識(shí)中。英國標(biāo)準(zhǔn)協(xié)會(huì)（BSI）ISO27018技術(shù)經(jīng)理Rob Whitcher表示，目前企業(yè)不可能以ISO27001同樣的方式支持ISO27018。

話雖如此，他承認(rèn)人們害怕自己的個(gè)人信息在云端中遭遇泄露或被人利用，而這些焦慮大多是不合理的，但這也是非常真實(shí)的。

“人們擔(dān)心在云中的數(shù)據(jù)將會(huì)發(fā)生什么。他們會(huì)做一些事情，比如在家中運(yùn)行一個(gè)小型的服務(wù)器，他們覺得這比運(yùn)行在Amazon Web Services[AWS]更為安全。而AWS服務(wù)器其實(shí)更安全，因?yàn)閿?shù)據(jù)中心會(huì)受到很好的保護(hù)。但是很多人不這么認(rèn)為。”Whitcher說。

ISO 27018標(biāo)準(zhǔn)采用及其重要性

ISO 27018的目的是為了給那些希望保護(hù)他們的數(shù)據(jù)的服務(wù)提供者提供信任，證明他們遵循國際公認(rèn)的準(zhǔn)則。

Whitcher說：“英國標(biāo)準(zhǔn)協(xié)會(huì)（BSI）正在尋求幫助這些組織。我們將為他們提供ISO 27001認(rèn)證，但如果他們希望獲得27018，也可以為他們提供。”

他補(bǔ)充說，還有一點(diǎn)是人們對(duì)標(biāo)準(zhǔn)以及它們的內(nèi)容的誤解。他說：“ISO 27001是關(guān)于信息的保護(hù)，而不是ISO 27018所保護(hù)的個(gè)人信息。”

為此，ISO27018確定了“個(gè)人身份信息”（PII）的含義，以及應(yīng)該如何處理。

根據(jù)條款，PII是（a）可用于識(shí)別與此類信息相關(guān)的PII主體的任何信息，或（b）可能與PII主體直接或間接相關(guān)。

輔助定義是PII主體，有時(shí)稱為數(shù)據(jù)主體，PII控制者是決定數(shù)據(jù)處理目的的人員。

然而，使用ISO 27018標(biāo)準(zhǔn)不會(huì)干擾客戶的責(zé)任。最終，如果是組織正在照查看個(gè)人資料，該標(biāo)準(zhǔn)并不能免除其責(zé)任。

標(biāo)準(zhǔn)中條款表明，“合同協(xié)議應(yīng)明確分配公共云PII處理器（在這種情況下是云服務(wù)提供商，也就是其分包商和云服務(wù)客戶）之間的責(zé)任。”

雖然組織仍然需要處理客戶數(shù)據(jù)，但I(xiàn)SO27018確實(shí)提供了遵循的路徑。

ISO 27018：是誰采用它？

然而，另一個(gè)標(biāo)準(zhǔn)ISO 27017，在即將到來的時(shí)候尚未批準(zhǔn)，但預(yù)計(jì)將會(huì)更加廣泛。

這將是一個(gè)實(shí)踐守則，提供超出ISO 27002特色的額外建議。最重要的是，它將通過向云服務(wù)提供商及其客戶提供信息和對(duì)其職責(zé)的總結(jié)來幫助云服務(wù)提供商及其客戶。它將超越ISO27018，盡管組織必須等待幾個(gè)月才可用。

同時(shí)，對(duì)于那些想要在云中對(duì)其信息放心的人，服務(wù)提供商也急切地采納了這一標(biāo)準(zhǔn)。微軟和AWS就是首先采用的兩家公司，特別是將大部分遵守這個(gè)標(biāo)準(zhǔn)。

AWS公司在英國技術(shù)傳播者Ian Massingham表示，ISO 2718的授予是AWS公司對(duì)隱私承諾的重要組成部分。

他補(bǔ)充說：“ISO 27018的成就向客戶證明，AWS擁有一套具體的管理制度，專門處理其內(nèi)容的隱私保護(hù)。對(duì)隱私和保護(hù)客戶內(nèi)容的承諾將永遠(yuǎn)是AWS和我們客戶現(xiàn)在和未來的首要任務(wù)。”

據(jù)英國標(biāo)準(zhǔn)協(xié)會(huì)（BSI）的Whitcher介紹，還有其他公司希望采用。“Salesforce公司對(duì)此具有一定的興趣。”他說，Dropbox公司宣布在2015年5月遵行這一標(biāo)準(zhǔn)。

他補(bǔ)充道：“隨著越來越多的組織意識(shí)到其存在以及越來越多對(duì)云服務(wù)提供商的需求，我們當(dāng)然可以期待廠商對(duì)此有更多的興趣。”

雖然持有ISO 27018的云提供商的數(shù)量開始穩(wěn)步上升，但是Massingham解釋說，為什么這些廠商持有這個(gè)重要標(biāo)準(zhǔn)的原因。

“隨著越來越多的客戶將更多的PII轉(zhuǎn)移到云端，這是他們一直在追求的標(biāo)準(zhǔn)。”他補(bǔ)充說，特別是那些在生命科學(xué)和醫(yī)療行業(yè)運(yùn)營的用戶。

盡管云計(jì)算在企業(yè)內(nèi)迅速采用，但安全性仍然是用戶的重中之重。

Whitcher等行業(yè)人士可以指出，所有內(nèi)容都是安全的，并且云計(jì)算中的一切都處于危險(xiǎn)之中的思維有著一定的缺陷，但實(shí)際情況是有多少人這么認(rèn)為。

時(shí)代正在發(fā)生變化，云計(jì)算公司越來越意識(shí)到可以提供完全相同的保護(hù)，而對(duì)標(biāo)準(zhǔn)的接受，僅依靠直覺是不夠的。

ISO 27018的崛起是云部署和個(gè)人信息保護(hù)并不矛盾的第一個(gè)跡象，人們可以期望在未來一年內(nèi)對(duì)這一領(lǐng)域的興趣日益增加。