保护云中个人数据的 ISO/IEC 27018 行为守则
ISO/IEC 27018 概述
国际标准化组织 (ISO) 是一个独立的非政府组织,是全球最大的自愿性国际标准开发者联盟。 ISO/IEC 27000 系列标准可帮助每种类型和规模的组织确保信息资产安全无虞。
ISO 于 2014 年采用了第一个国际云隐私行为守则 ISO/IEC 27018:2014(ISO/IEC 27001 的附录)。 该标准基于欧盟数据保护法律,为充当个人身份信息 (PII) 处理者的云服务提供商 (CSP) 提供有关评估风险和实施先进控制措施的专门指导,以便保护 PII。
Microsoft 和 ISO/IEC 27018
经认证的第三方认证机构每年至少对 Microsoft Azure 和 Azure 德国进行一次符合 ISO/IEC 27001 和 ISO/IEC 27018 的审核。 此审核提供独立验证,证明适用的安全控制措施已到位并有效运行。 作为此合规性验证过程的一部分,审核员会在其适用性声明中确认 Microsoft 范围内云服务和商业技术支持服务已包含 ISO/IEC 27018 控制措施,可保护 Azure 中的 PII。 为保持合规性,Microsoft 云服务必须接受第三方年度审核。
Microsoft 遵循 ISO/IEC 27001 标准和 ISO/IEC 27018 中体现的行为准则,证明其隐私策略和程序稳健且符合其高标准。
- Microsoft 云服务客户知道其数据的存储位置。 因为 ISO/IEC 27018 要求经认证的 CSP 告知客户将其数据存储在哪个国家/地区,所以,Microsoft 云服务客户可以看到他们需要遵守的任何适用的信息安全性规则。
- 未经明确同意,客户数据不会被用于市场营销或广告宣传。 某些 CSP 会出于其自身商业目的使用客户数据,包括进行有针对性的广告宣传。 由于 Microsoft 已对其范围内的企业云服务采用 ISO/IEC 27018,因此客户可以放心,未经明确同意,其数据永远不会用于此类目的,并且同意不能成为使用云服务的条件。
- Microsoft 客户了解其 PII 的使用情况。 ISO/IEC 27018 要求制定相应策略,以允许在合理期限内返回、传输和安全处置个人信息。 如果 Microsoft 与需要访问客户数据的其他公司合作,Microsoft 将主动公开这些附属处理者的身份。
- 在客户数据披露方面,Microsoft 仅遵守具有法律约束力的请求。 如果 Microsoft 必须遵守此类请求 ((例如在刑事调查) 的情况下),它将始终通知客户,除非法律禁止这样做。
Microsoft 范围内的云平台和云服务
- Azure、Azure 政府和 Azure 德国
- Azure DevOps Services
- Dynamics 365、Dynamics 365 和 Dynamics 365 德国
- Intune
- Microsoft Defender for Cloud Apps
- Microsoft 专业服务:针对 Azure、Dynamics 365、Intune 及 Microsoft 365 商业版中型企业客户的高级和本地支持。
- Microsoft Graph
- Microsoft 医疗保健机器人
- Microsoft 托管桌面
- Microsoft 威胁专家
- Microsoft Stream
- Office 365、Office 365 U.S. Government 和 Office 365 U.S. Government Defense
- Office 365 德国
- OMS Service Map
- Power Automate (以前称为 Microsoft Flow): 云服务作为独立服务提供,或者随 Office 365 或 Dynamics 365 品牌计划或套件一并提供
- PowerApps 云服务:作为独立服务提供,或者随 Office 365 或 Dynamics 365 品牌计划或套件一并提供
- Power BI 云服务:作为独立服务提供,或者随 Office 365 品牌计划或套件一并提供
- Power BI Embedded
- Power Virtual Agents
- Microsoft Defender for Endpoint:终结点检测和响应、自动调查与修正、安全分数
- Windows 365
Azure、Dynamics 365 和 ISO ISO/IEC 27018
有关 Azure、Dynamics 365 和其他联机服务合规性的详细信息,请参阅 Azure ISO/IEC 27018 产品/服务。
Office 365 和 ISO ISO/IEC 27018
Office 365环境
Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。
本部分介绍以下Office 365环境:
- 客户端软件(客户端):客户设备上运行的商业客户端软件。
- Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
- Office 365 政府社区云 (GCC):Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
- Office 365 政府社区云 - 高 (GCC High):Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
- Office 365 DoD (DoD):Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。
使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。
你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。
Office 365 适用性和范围内的服务
使用下表确定 Office 365 服务和订阅的适用性:
| 适用性 | 范围内服务 |
|---|---|
| 商业 | Access Online、Microsoft Entra ID、Azure 通信服务、合规性管理器、客户密码箱、Delve、Exchange Online Protection、Exchange Online、Forms、Griffin、Identity Manager、Lockbox (Torus) Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 高级合规版加载项、Office 365客户门户Office 365微服务 (包括但不限于 Kaizala、ObjectStore Sway、PowerPoint Online 文档服务、查询注释服务、学校数据同步、Siphon、语音、StaffHub、eXtensible Application Program) 、Office 365 Security & Compliance Center、Office Online、Office Pro Plus、Office Services 基础结构、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI Project Online、使用 Microsoft Purview 客户密钥进行服务加密、SharePoint Online、Skype for Business、Stream |
| GCC | Microsoft Entra ID、Azure 通信服务、合规性管理器、Delve、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 高级合规版加载项Office 365安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream |
| GCC 高级 | Microsoft Entra ID、Azure 通信服务、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 高级合规版加载项Office 365安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online Skype for Business |
| DoD | Microsoft Entra ID、Azure 通信服务、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 高级合规版加载项Office 365安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、Power BI、SharePoint Online Skype for Business |
Office 365 审核、报告和证书
作为 ISO/IEC 27001 认证过程的一部分,每年会对 Microsoft 云服务和商业技术支持服务进行一次 ISO/IEC 27018 行为守则审核。
常见问题解答
ISO/IEC 27018 适用于哪些对象?
该行为守则适用于根据合同处理其他组织的 PII 的 CSP。 在 Microsoft,它还适用于这些 CSP 的支持。
“个人信息控制者”和“个人信息处理者”之间有何区别?
在 ISO/IEC 27018 背景下:
- “控制者”控制个人信息的收集、保留、处理或使用;他们包括代表另一家公司控制它的各方。
- “处理器”代表控制器处理信息;他们不会决定如何使用信息或处理目的。 在提供企业云服务时,Microsoft(作为你的供应商)是信息处理者。
可在何处查看针对 ISO/IEC 27018 的 Office 365 合规性信息?
- 你可以查看来自 BSI(验证 Microsoft 符合 ISO/IEC 27018 的独立审计师)的 Office 365 的 ISO/IEC 27018 证书。
能否在我组织的认证过程中使用 Microsoft 的合规性认证?
可以。 如果符合 ISO/IEC 27018 对你的业务及在任何 Microsoft 范围内企业云服务上部署的实施非常重要,则可在合规性评估中使用 Microsoft 的 ISO/IEC 27018 合规性证明和 Microsoft 的 ISO/IEC 27001 合规性证书。
但是,你负责聘请评估员来评估实现的合规性,以及你自己的组织中的控制和流程。
使用 Microsoft Purview 合规性管理器评估风险
Microsoft Purview 合规性管理器是Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况,并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估。
资源
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈