联系我们
-
-
北京坤标检验认证有限公司
业务咨询:18101379028
总部电话:010-84631655
地址:北京市朝阳区望京园601号E座3003、3005室
信息技术 安全技术 公有云中个人信息保护实践指南 ISO IEC 27018-2019 GB/T 41574-2022
作者:北京坤标认证机构 文章来源:http://www.bjkbrz.com 发布日期:2024-04-23 18:13:09 浏览次数:0次
GB/T 41574-2022《信息技术安全技术公有云中个人信息保护实践指南》(ISO/IEC 27018-2019)
GB/T 41574-2022《信息技术安全技术公有云中个人信息保护实践指南》标准给出了在公有云中实施个人信息保护的控制目标和控制措施,在GB/T 22081基础上给出了公有云个人信息保护指南。
公有云服务提供者通常需要依据与云服务客户签订的合同,并在双方均遵守个人信息保护法律法规相关要求的前提下开展服务。对于个人信息保护的这些要求,云服务提供者与云服务客户是依据法律法规和它们之间的合同来确定的。
当公有云服务提供者按照云服务客户的要求处理个人信息时,公有云服务提供者充当“个人信息处理者"的角色。与公有云个人信息处理者有合同关系的云服务客户是“个人信息控制者"。在云计算环境下,个人信息控制者掌握个人信息的控制权,其也具有处理和使用个人信息的权限。个人信息控制者与个人信息处理者均可处理个人信息,但个人信息处理者作为受委托的一方,只能执行个人信息控制者要求的个人信息处理操作和为实现个人信息控制者目标而进行的必要操作。同时,云服务客户也可授权一个或多个云服务用户使用其服务,但这些服务仅限于云服务客户与公有云个人信息处理者签订合同中约定的可用服务。
GB/T 41574-2022《信息技术安全技术公有云中个人信息保护实践指南》标准旨在创建一组通用的控制类别和控制措施,与GB/T22081中的信息安全控制目标和控制措施结合使用,由个人信息处理者来实现。本文件的目的如下:
— 帮助公有云个人信息处理者履行相应义务,这些义务包括法律法规规定的直接义务及合同约定的其他义务;
— 使公有云个人信息处理者在相关事务上保持透明,便于云服务客户选择管理良好的基于云的个人信息处理服务;
— 协助云服务客户和公有云个人信息处理者签订合同协议;
— 在单个云服务客户无法对托管在多方或虚拟化服务器(云)中的数据进行审计,或者此类审计可能增加现有物理和逻辑网络安全控制风险的情况下,为云服务客户行使审计权力和承担符合性责任提供一种机制。
— 本文件可为公有云服务提供者,特别是跨国运营的公有云服务提供者,提供一种通用的合规框架。
GB/T 41574-2022《信息技术安全技术公有云中个人信息保护实践指南》标准适用于作为个人信息处理者的所有类型和规模的组织,包括公有和私营公司、政府机构和非营利组织。
推荐阅读
- 信息技术服务管理体系认证 ISO IEC 20000.1-2018
- 通用数据保护条例 GDPR
- 信息技术 安全技术 个人身份信息保护实践指南 ISO IEC 29151-2017
- 安全技术 ISO/IEC 27001和ISO/IEC 27002的隐私信息管理的扩展 ISO IEC 27701-2019
- 信息技术 安全技术 公有云中个人信息保护实践指南 ISO IEC 27018-2019 GB/T 41574-2022
- 信息技术 安全技术 基于ISO/IEC 27002信息安全控制的云服务 ISO IEC 27017-2015
- 业务连续性管理体系认证 GB/T 30146-2023
- 信息安全管理体系认证 ISO IEC 27001-2022 GB/T 22080-2016
认证业务咨询
