ISO/IEC 27018

ISO/IEC 27018 公用雲PII處理者保護個人識別資訊（PII）之作業規範

雲端運算為組織和消費者提供多元的效益：節省成本、靈活性和最重要的行動存取。然而效益的背後還伴隨了對資料保護和隱私的擔憂，特別是涉及個人識別資訊（Personal Identifiable Information, PII）的敏感資料。PII 包含了可以識別特定用戶的任何資訊，最容易理解的例子包括：姓名、聯繫方式或您親友的姓名，還包括了可能被忽略的醫療記錄、IP 地址和銀行對帳單。

ISO/IEC 27018 是 ISO/IEC 27001 資訊安全管理系統的延伸標準，雲服務提供商通過此標準驗證，將可以向雲端服務使用者證明，其 PII 皆受到妥善的保護，並且不會在未經同意的情況下做其他目的的應用。

ISO 國際標準組織在 2019 年 1 月公布了最新版本的國際標準 ISO/IEC 27018:2019，正式取代了於 2014 年所發布的初版標準。

新版主要針對舊版標準附錄 A 中的些微文字疏漏進行修訂，因此不影響 BSI 既有客戶的稽核活動。

即日起新申請之驗證都將以新版標準進行，BSI 驗證客戶若對於此次標準改版有任何問題，請與您的 BSI 客服專員聯繫討論。

ISO/IEC 27018 是第一個致力於公共雲保護個人資訊（PII）的國際標準，企業組織可以運用此標準達成：

• 協助雲端服務顧客及公有雲 PII 處理者進入契約化之協議
• 幫助公有雲服務提供者在扮演 PII 處理者時有適用之遵循義務
• 使公有雲 PII 處理者在相關事務上透明，雲端服務顧客可選擇良好治理、以雲端為基礎之 PII 處理服務

ISO/IEC 27018 可以消除人們對於雲端服務的不安全感，讓雲端服務提供者有明確且有效的作法依循，也替雲端服務產業帶來最合適的信賴證明。導入 ISO/IEC 27018 您將可以：

• 提升客戶對雲端服務的信任 - 向您的客戶和利害關係者提供更好的保證，證明其個人資料和資訊被保護
• 競爭優勢 - 提供最高程度的個人資訊保護，讓組織從市場競爭中脫穎而出
• 保護品牌商譽 - 降低因資料外洩而導致的負面形象
• 降低風險 - 確保識別風險並制定控制措施以管理或降低風險
• 避免罰則 - 確保遵守當地法規與義務，降低因資料外洩而面臨相關罰則
• 幫助您拓展業務 - 在不同國家/地區提供通用指南，更容易在全球各地開展業務，成為客戶心中的首選供應商

選擇 BSI 的理由

100 多年來我們是制定標準的先驅，如今我們是市場的領導者。我們幫助 86,000 多家機構在高度競爭中取得優勢，客戶範圍涵蓋了全球 192 個國家，從頂尖品牌至極具潛力的中小型企業。身為少數對標準有全盤了解的機構之一，我們不僅稽核您符合標準的程度，更制定標準從無到有，並在全球培訓標準團隊以獲得最佳績效。我們的專業知識能夠改造您的組織。