NAVER Business Platform Corp. ISO/IEC 27018 Office 365 Dropbox Box.com Ribose Amazon Google 雲端服務提 Azure 公有雲 AWS HDE TKC 微軟

公有雲個資保護是否夠力 ISO/IEC 27018說了算

2017-02-10
隨著科技的進步,傳統的商業模式和服務,時至今日已經逐漸轉型,透過高度資訊化和方便的網路連結,讓各項交易和服務能夠以更即時的方式來運作。目前,應用雲端運算的強大資源,資訊服務也能夠以更有效率且節約成本的方式,傳遞給不分國界的使用者。
在使用雲端科技方面,關於服務本身的透明度與資料的安全性,已是受到普遍關注的議題。以公有雲的服務來說,某種程度上就是一種委外服務,就像傳統的金融服務一樣,民眾在考量是否要將貴重物品或金錢存放在某家銀行時,主要考量的要素就是銀行是不是值得讓人信賴。同理,雲端服務客戶在採用雲端服務時,也會關心自己重要且有價值的資訊,是否能夠獲得雲端服務提供商妥善且安全地處理。

藉由與資訊安全標準ISO/IEC 27001的結合,ISO/IEC 27018提供了雲端服務提供商一個在處理個人可識別資訊(PII)時,可以參考的最佳實務指引。這本標準的重點在於協助公有雲服務提供商在扮演PII處理者時,有足夠能力去處理公有雲服務的資安議題,並且在能夠滿足客戶合約和法令法規的前提下,有效地因應雲端上個人資料保護的特定風險。

取得ISO/IEC 27018的必要條件

有鑑於ISO/IEC 27018對於個人資料保護之要求相當完備,並且需要由獨立的第三方實施現場查核,藉由稽核過程中所獲得的客觀證據,才可作為業者已經遵循實施此一國際標準的佐證,這已經是業界公認在雲端服務上保護個資的有效機制。

基本上,適用此一標準而可以進行驗證的組織,以雲端服務提供商為主,而且是提供了公有雲服務,其業務型態包括了個人資料的蒐集、處裡、利用或傳輸等。ISO/IEC 27018要求在服務使用者同意的情況下,針對個人資料生命週期的各個階段,都需要採取適當的保護措施。同時,雲端服務提供商也有義務,需要對雲端服務客戶說明如何確保資料的完整性和透明性等議題,並且尊重使用者對於其個人資料的主張權益。

對於雲端服務提供商來說,在導入ISO/IEC 27018之後,所產生的效益包括了:

·增加使用者的信任:提供更強的安全保護機制,以確認雲端服務客戶和利害關係人的個人資料已經受到妥善的保護。

·強化商業競爭力:比同業的競爭對手提供更高層次的個資保護措施。

·保護品牌和商譽:降低因資安或資料外洩事件的發生,以保護組織的聲譽。

·有效降低資安風險:藉由實施風險評鑑的過程來選擇適當的控制措施,可有效地管理可能的資安風險。

·協助組織營運成長:對於跨國的企業或提供不同國家服務的雲端服務提供商,可以提供一個共同的規範準則,協助組織更容易地在世界各地提供公眾使用的雲端服務。

ISO/IEC 27018國際標準的架構

ISO/IEC 27018標準的內容主要由兩個部份組成,它分別參考了ISO/IEC 27001附錄A,也就是ISO/IEC 27002的16項控制措施,以及根據ISO/IEC 29100的11項隱私權框架原則所追加的25項控制措施。以下僅針對個資隱私保護原則的部份,做簡要的說明。

1. 同意及選擇

這項要求只有追加一個「A.1.1 有關個人資料當事人權利的合作義務」控制措施,主要是要求公有雲的個資處理者,應該要提供個資當事人能行使其個資權利的方式,包括有能力可存取、更正或刪除屬於他們的個人資料。

2. 目的適法性及規定

這項要求包括了「A.2.1 公有雲PII處理者的目的」和「A.2.2 公有雲PII處理者的商業使用」二個控制措施,主要是要求公有雲的個資處理者應該要基於合約的使用目的,不能以獨立於合約的其他任何目的來處理個人資料,除非已重新獲得當事人的同意。另外,在商業使用方面,在沒有獲得同意之前,不應將個人資料作為行銷和廣告的目的來使用,而且也不應該以此作為客戶接受此項服務的條件,換句話說,應給予雲端服務客戶可以自由選擇的權利。

3. 資料極小化

這項要求的控制措施是「A.4.1 暫時性檔案的安全刪除」,主要是針對在處理個資的過程中,可能會產生許多暫時性的檔案,像是個資編輯修改的記錄、存取的日誌記錄、修改的副本暫存檔等,由於內容也可能涉及個資,因此應在指定或所約定的期間內被刪除或銷毀。

4. 利用、持有及揭露限制

這項要求包括了「A.5.1 PII揭露的告知」和「A.5.2 PII揭露的紀錄」,主要是規範當公有雲的業者遇到來自執法單位的具有法律約束力的個資揭露要求時,需要按照合約所約定的程序和時間,通知受影響的雲端服務客戶,除非是受到法律或其他方式要求禁止通知。此外,對於第三方揭露個資時,需要明確地記錄對誰?在什麼時間?揭露了哪些資料?目前實務上,可以透過定期提供透明度報告來向客戶告知相關訊息。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!