ISO27018认证将ISO27002中描述的一系列安全控制作为基础,然后以两种方式扩展。首先,在许多领域中扩展了现有的安全控制,以处理云服务客户和云服务供应商之间的责任。其次,添加了一组新的安全控制,以反映ISO/IEC 29100隐私框架标准中定义的隐私原则。
ISO27018认证扩展的安全控制包括如下:
在存储和任何可移动的物理介质中,对PII进行加密的要求,一旦数据不再需要,在指定的时间内删除PII,符合云服务协议中明文规定的目的时,才进行PII处理,如法规所明文规定,在处理PII原则的权利问题上,可检查和纠正PII ISO/IEC 27018能够确保云服务供应商在处理PII方面有着适当的程序。
它还可以帮助制定更强的云服务协议。该标准就PII的问题,规定了CSPs如何培训员工,需要什么文件程序,并提供了相应的指导方针。
ISO27018认证作为ISO27000系的新成员,在ISO27002基础上的进行了上述的拓展,进一步解决云服务信息安全的问题。