客服热线:
手机版
二维码
ISO27018标准内容
由于个人身份信息(PII)能够用于商业目的,例如有针对性的广告和影响个人的数据统计分析,因此了解数据是什么以及云提供商怎样使用数据对于每个人都很重要。 ISO 27018的目的是建立这种理解,并使个人有机会就使用其PII给予同意或撤销同意。
ISO 27018自2014年7月起成为标准,尽管本身具有重要意义,但它是ISO 27000家族的一部分,并且是对先前标准ISO 27001和ISO 27002的演进。 ISO 27001和ISO 27002的障碍-许多云提供商已经做到了。
ISO 27000系列标准解决了隐私,机密性和技术安全性问题。 该标准概述了数百种潜在的控制和控制机制。 简要地:
ISO 27001-涵盖云中的安全性。 必须年度认证。
ISO 27002-阐明怎样遵守ISO 27001。
ISO 27018-将个人身份信息添加到27001的范围中
ISO 27018要求兼容的云服务提供商(CSP):
未经顾客明确同意,不会将顾客数据用于其独立目的,例如广告和营销。
不会将使用服务的协议与CSP将个人数据用于广告和营销的捆绑。
除此之外,ISO 27018:
为个人信息的返回,转移和安全处理建立清晰透明的参数。
要求CSP在顾客签订合同以前公开其从事数据处理的任何子处理器的身份。
假如CSP更改了子处理器,则要求CSP及时通知顾客,使他们有机会反对终止其协议。
ISO27032网络空间安全管理体系认证
ISO/IEC 27032:2012信息技术-安全技术-网络安全准则提供了用于改善网络安全状态的指南,并指出了该活动的独特方面以及对其他安全域的依赖性,尤其是:
●信息安全,
●网络安全,
●互联网安全,以及
●关键信息基础设施保护(CIIP)。
ISO27032认证涵盖了网络空间中利益相关者的基本安全实践。本国际标准规定:
●网络安全概述,
●对网络安全与其他类型的安全之间的关系的解释,
●利益相关者的定义以及他们在网络安全中的角色的描述,
●解决常见网络安全问题的指南,以及
●1个使利益相关者能够在解决网络安全问题上进行协作的框架。
ISO27032认证介绍
●ISO/IEC 27032正式涉及“网络安全或“网络空间安全,定义为“网络空间中信息的机密性,完整性和可用性的维护。反过来,“网络空间(包含定冠词和虚假的CAPItaL)被定义为“复杂的环境,是由互联网上的人,软件和服务通过与之相连的技术设备和网络进行交互而产生的复杂环境。以任何物理形式。
●范围和目的
●实际上,尽管有标题,但该标准实际上是关于互联网安全的。最初的几行给出了标准的内容:
●“标准的重点是解决互联网安全问题,并为解决常见的互联网安全风险提供技术指导...
●该标准没有直接涉及网络安全(例如网络欺凌),网络犯罪,互联网安全,与互联网相关的犯罪,关键信息基础设施的保护或网络战争,尽管这些方面存在倾斜的参考。
ISO27032认证结构和内容
主要部分是:
5.总览
6.网络空间中的资产
7.对网络空间安全的威胁
8.利益相关者在网络安全中的作用
9.利益相关者指南
10.网络安全控制
11.信息共享与协调框架
附件A.网络安全准备
附件B.额外资源
附件C.相关文件举例
按照定义,“网络空间似乎代表着复杂,高度可变或不稳定的虚拟在线环境,因此很难明确相关的信息风险。尽管各种信息风险与“网络空间相关,但许多风险(例如网络和系统黑客,间谍软件和恶意软件,跨站点脚本,SQL注入,社会工程,以及与“ Web 2.0有关的信息安全问题,云通常支持虚拟在线环境和应用程序的计算和虚拟化技术)能够归为普通或常规系统,网络和应用程序安全风险。实际上,该标准主要关注与互联网相关的信息风险,而不是“网络空间本身。可是,由于这些风险已被已发布或正在开发的其他ISO或ISO/IEC信息安全标准很好地涵盖了,因此不明确什么信息风险真正是“网络空间所特有的。该标准提到了属于MMORPG(大型多人在线角色扮演游戏)的虚拟资产参与者的风险,但并未直接解决。在“网络空间领域的不断创新使得在这一领域制定国际标准特别困难,并且尽管它又不在标准范围之内,但它本身能够被归类为信息风险。
ISO27032标准的第7节区分了对个人和组织资产的威胁,这些威胁似乎能够归结为分别损害隐私/身份和公司信息:当然,有许多信息安全标准涵盖了这两个方面。[出于某些晦涩的原因,第7节还提到了对在线政府服务和基础设施的威胁,包含恐怖主义,尽管与“网络空间有什么关系尚不清楚,由于不清楚有任何政府提供虚拟环境或MMORPG,除非“管理国家经济被归类为游戏!]。
ISO27032标准现状
ISO27032标准于2012年发布 。
正在以新的工作标题对它进行修订(重写):“信息技术-网络安全-互联网安全准则。将于2021年出版。
ISO27032修订后的标准将:
●解释互联网安全,网络安全,互联网安全和网络安全之间的关系;
●概述互联网安全;
●明确与互联网安全相关的利益相关方;
●为解决常见的互联网安全问题提供高级指导。
