클라우드 내 개인 데이터 보호를 위한 ISO/IEC 27018 규약ISO/IEC 27018 Code of Practice for Protecting Personal Data in the Cloud

ISO/IEC 27018 개요ISO/IEC 27018 overview

ISO(International Organization for Standardization: 국제 표준화 기구)는 독립적인 비정부 조직으로 세계 최대의 자발적 국제 표준 개발자입니다.The International Organization for Standardization (ISO) is an independent nongovernmental organization and the world's largest developer of voluntary international standards. ISO/IEC 27000 표준군은 업종과 규모에 관계 없이 모든 조직에서 정보 자산의 보안을 유지할 수 있도록 도와줍니다.The ISO/IEC 27000 family of standards helps organizations of every type and size keep information assets secure.

2014년 ISO는 클라우드 개인 정보 보호를 위한 최초의 국제 규약인 ISO/IEC 27001에 대한 추가 규정으로 ISO/IEC 27018:2014를 채택했습니다.In 2014, the ISO adopted ISO/IEC 27018:2014, an addendum to ISO/IEC 27001, the first international code of practice for cloud privacy. EU 데이터 보호법에 기초한 이 규정은 PII(개인 식별 정보)의 처리자로 활동하는 CSP(클라우드 서비스 공급자)에게 PII 보호를 위한 최신 통제 수단 구현과 위험 평가에 대한 특정 지침을 제공합니다.Based on EU data-protection laws, it gives specific guidance to cloud service providers (CSPs) acting as processors of personally identifiable information (PII) on assessing risks and implementing state-of-the-art controls for protecting PII.

Microsoft와 ISO/IEC 27018Microsoft and ISO/IEC 27018

적어도 1년에 한 번 Microsoft Azure 및 Azure Germany는 공인된 타사 인증 기관을 통해 ISO/IEC 27001 및 ISO/IEC 27018 규정 준수에 대한 감사를 받고, 적용 가능한 보안 통제 수단이 있고 효과적으로 작동하는지 독립적으로 검증합니다.At least once a year, Microsoft Azure and Azure Germany are audited for compliance with ISO/IEC 27001 and ISO/IEC 27018 by an accredited third-party certification body, providing independent validation that applicable security controls are in place and operating effectively. 이 준수 확인 프로세스의 일환으로서 감사자는 적용서 보고서에서 Microsoft 범위 내 클라우드 서비스 및 상용 기술 지원 서비스에 Azure에서 PII 보호를 위한 ISO/IEC 27018 통제 수단이 통합되어 있음을 확인했습니다.As part of this compliance verification process, the auditors validate in their statement of applicability that Microsoft in-scope cloud services and commercial technical support services have incorporated ISO/IEC 27018 controls for the protection of PII in Azure. 규정 준수 상태를 유지하려면 매년 Microsoft 클라우드 서비스에 대한 외부 검토를 받아야 합니다.To remain compliant, Microsoft cloud services must be subject to annual third-party reviews.

ISO/IEC 27001 표준과 ISO/IEC 27018에 포함된 규약을 준수하는(이 행동 규약을 통합한 최초 주요 클라우드 공급자) Microsoft는 Microsoft의 개인 정보 보호 정책 및 절차가 확고하며 높은 수준의 자체 표준에 따른 것임을 입증하고 있습니다.By following the standards of ISO/IEC 27001 and the code of practice embodied in ISO/IEC 27018, Microsoft (the first major cloud provider to incorporate this code of practice) demonstrates that its privacy policies and procedures are robust and in line with its high standards.

  • Microsoft 클라우드 서비스의 고객은 자신의 데이터가 저장되는 위치를 알고 있습니다.Customers of Microsoft cloud services know where their data is stored. ISO/IEC 27018에 따라 인증된 CSP는 고객에게 데이터가 저장될 수 있는 국가를 알려주어야 하므로, Microsoft 클라우드 서비스 고객은 해당되는 정보 보안 규칙을 준수하는 데 필요한 시야를 확보하게 됩니다.Because ISO/IEC 27018 requires certified CSPs to inform customers of the countries in which their data may be stored, Microsoft cloud service customers have the visibility they need to comply with any applicable information security rules.
  • 고객 데이터는 명시적 승인 없이는 마케팅이나 광고에 사용되지 않습니다.Customer data won't be used for marketing or advertising without explicit consent. 일부 CSP는 대상 지정된 광고 등 고유의 상업적 목적으로 고객 데이터를 사용하기도 합니다.Some CSPs use customer data for their own commercial ends, including for targeted advertising. Microsoft는 범위 내 엔터프라이즈 클라우드 서비스에 대해 ISO/IEC 27018을 채택했으므로, 고객은 데이터가 명시적 승인 없이는 이러한 목적으로 사용되지 않으며 이러한 승인이 클라우드 서비스의 사용 조건일 수 없음을 확신할 수 있습니다.Because Microsoft has adopted ISO/IEC 27018 for its in-scope enterprise cloud services, customers can rest assured that their data will never be used for such purposes without explicit consent, and that consent cannot be a condition for use of the cloud service.
  • Microsoft 고객은 PII가 어떻게 처리될지 알고 있습니다.Microsoft customers know what's happening with their PII. ISO/IEC 27018에 따르면 적정 기간 내에 개인 정보의 반환, 전송 및 보안 폐기를 고려하는 정책이 마련되어야 합니다.ISO/IEC 27018 requires a policy that allows for the return, transfer, and secure disposal of personal information within a reasonable period of time. Microsoft는 고객 데이터에 대한 액세스 권한이 필요한 다른 업체와 협력할 경우 사전에 미리 이러한 하위 처리자의 신원을 공개합니다.If Microsoft works with other companies that need access to your customer data, Microsoft proactively discloses the identities of those sub-processors.
  • Microsoft는 고객 데이터 공개에 대해 법적 구속력이 있는 요청만을 준수합니다.Microsoft complies only with legally binding requests for disclosure of customer data. Microsoft에서 이러한 요청을 준수해야 하는 경우(예를 들면 범죄 수사의 경우) 항상 고객에게 알립니다. 단, 이러한 알림 행위가 법적으로 금지되지 않는 경우에 한합니다.If Microsoft must comply with such a request (as in the case of a criminal investigation), it will always notify the customer unless it is prohibited by law from doing so.

Microsoft 범위 내 클라우드 서비스Microsoft in-scope cloud services

  • Azure, Azure Government, Azure GermanyAzure, Azure Government, and Azure Germany
  • Azure DevOps ServicesAzure DevOps Services
  • Microsoft Cloud App SecurityMicrosoft Cloud App Security
  • Dynamics 365, Dynamics 365 및 Dynamics 365 GermanyDynamics 365, Dynamics 365, and Dynamics 365 Germany
  • Microsoft 전문 서비스: Azure, Dynamics 365, Intune, 비즈니스용 Microsoft 365의 중간 규모 비즈니스 및 엔터프라이즈 고객 대상 프리미어 및 온-프레미스Microsoft Professional Services: Premier and On Premises for Azure, Dynamics 365, Intune, and for medium business and enterprise customers of Microsoft 365 for business
  • Microsoft GraphMicrosoft Graph
  • Microsoft Healthcare BotMicrosoft Healthcare Bot
  • IntuneIntune
  • Microsoft Managed DesktopMicrosoft Managed Desktop
  • Power Automate(이전 Microsoft Flow): 독립 실행형 서비스 혹은 Office 365 혹은 Dynamics 365에 브랜딩된 플랜 또는 제품군에 포함된 형태로서의 클라우드 서비스Power Automate (formerly Microsoft Flow): cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • Office 365, Office 365 U.S. Government, Office 365 U.S. Government DefenseOffice 365, Office 365 U.S. Government, and Office 365 U.S. Government Defense
  • Office 365 GermanyOffice 365 Germany
  • OMS 서비스 지도OMS Service Map
  • PowerApps 클라우드 서비스: 독립 실행형 서비스 혹은 Office 365 혹은 Dynamics 365에 브랜딩된 플랜 또는 제품군에 포함된 형태PowerApps cloud service: either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • Power BI 클라우드 서비스: 독립 실행형 서비스 혹은 Office 365에 브랜딩된 플랜 또는 제품군에 포함된 형태Power BI cloud service: either as a standalone service or as included in an Office 365 branded plan or suite
  • Power BI가 포함됨Power BI Embedded
  • 파워 가상 에이전트Power Virtual Agents
  • Microsoft 위협 전문가Microsoft Threat Experts
  • Microsoft StreamMicrosoft Stream
  • Windows Defender ATP — 끝점 감지 및 대응, 자동 조사 및 조치, 보안 점수Windows Defender ATP — Endpoint Detection & Response, Automatic Investigation & Remediation, Secure Score

감사, 보고서 및 인증서Audits, reports, and certificates

감사 주기Audit cycle

Microsoft 클라우드와 상용 기술 지원 서비스는 ISO/IEC 27001에 대한 인증 프로세스의 일부로서 ISO/IEC 27018 규약에 대해 1년에 한 번씩 감사를 받습니다.Microsoft cloud and commercial technical support services are audited once a year for the ISO/IEC 27018 code of practice as part of the certification process for ISO/IEC 27001.

감사 및 보고서Audits and reports

Office 365Office 365

Azure DevOps ServicesAzure DevOps Services

질문과 대답Frequently asked questions

ISO/IEC 27018은 누구에게 적용되나요?To whom does ISO/IEC 27018 apply?

이 규약은 다른 조직과의 계약 하에서 PII를 처리하는 CSP에 적용됩니다.This code of practice applies to CSPs that process PII under contract for other organizations. Microsoft에서는 해당 CSP에 대한 지원에도 적용됩니다.At Microsoft, it also applies to the support of those CSPs.

‘개인 정보 규제자’와 ‘개인 정보 처리자’의 차이점은 무엇인가요?What is the difference between 'personal information controllers' and 'personal information processors'?

ISO/IEC 27018 관련:In the context of ISO/IEC 27018:

  • ‘제어자’는 개인 정보의 수집, 유지, 처리 또는 사용을 제어합니다. 제어자에는 다른 회사를 대신하여 이를 제어하는 업체가 포함됩니다.'Controllers' control the collection, holding, processing, or use of personal information; they include those who control it on another company's behalf.
  • ‘처리자’는 제어자를 대신하여 정보를 처리합니다. 이들은 정보 사용법이나 처리 목적에 관한 결정을 내리지 않습니다.'Processors' process information on behalf of controllers; they do not make decisions as to how to use the information or the purposes of the processing. 엔터프라이즈 클라우드 서비스 제공에 있어서 Microsoft(파트너의 공급자)는 정보 처리자입니다.In providing its enterprise cloud services, Microsoft (as a vendor to you) is an information processor.

ISO/IEC 27018에 대한 Microsoft의 규정 준수 정보는 어디에서 확인할 수 있나요?Where can I view Microsoft compliance information for ISO/IEC 27018?

우리 회사의 인증 프로세스에 Microsoft의 규정 준수를 사용할 수 있나요?Can I use Microsoft's compliance in my organization's certification process?

예.Yes. ISO/IEC 27018를 준수하는 것이 Microsoft의 범위 내 엔터프라이즈 클라우드 서비스에서 배포되는 비즈니스 및 구현에 중요한 경우, 규정 준수 평가에서 Microsoft의 ISO/IEC 27001와 ISO/ICE 27018 준수에 대한 Microsoft의 증명을 사용할 수 있습니다.If compliance with ISO/IEC 27018 is important for your business and implementations deployed on any of Microsoft in-scope enterprise cloud services, you can use Microsoft's attestation of compliance with ISO/IEC 27018 with Microsoft's certification for ISO/IEC 27001 in your compliance assessment.

하지만 구현에 대한 규정 준수를 평가하기 위한 평가자와의 계약과 고유 조직 내 통제 수단 및 프로세스에 대해서는 파트너가 책임을 져야 합니다.However, you are responsible for engaging an assessor to evaluate your implementation for compliance, and for the controls and processes within your own organization.

Microsoft 준수 점수를 사용하여 위험 평가Use Microsoft Compliance Score to assess your risk

Microsoft 준수 점수는 조직의 준수 입장을 이해하고 위험을 줄이기 위한 조치를 취하도록 돕는 Microsoft 365 컴플라이언스 센터의 미리 보기 기능입니다.Microsoft Compliance Score is a preview feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. 준수 점수를 설정한 후, 서식 파일 드롭다운 메뉴에서 사전 구성된 ISO 27018 서식 파일을 선택하여 조직이 이 규정에 대한 요구 사항을 충족할 수 있도록 하십시오.After setting up Compliance Score, select the pre-configured ISO 27018 template from the Template drop-down menu to help your organization meet the requirements for this regulation.

리소스Resources