保護雲端中個人資料的 ISO/IEC 27018 工作條例規定

ISO/IEC 27018 概觀

國際標準組織 (ISO) 是獨立的非政府組織,以及全球最大的自願性國際標準開發者。 ISO/IEC 27000 標準系列可幫助各類型跟大小的組織保持資訊資產安全。

ISO 在 2014 年採用 ISO/IEC 27018:2014,此為 ISO/IEC 27001 的增補合約,並為雲端隱私權的第一個國際工作條例規定。 根據歐盟資料保護規定,它對作為個人識別資訊 (PII) 處理者的雲端服務提供者 (CSP) 提供特定指引,為保護 PII 評估風險和實作最先進的控制措施。

Microsoft 和 ISO/IEC 27018

在適用之獨立驗證的安全控制有實施並有效運作的情況下,合格的第三方驗證實體每年至少一次會稽核 Microsoft Azure 和 Azure 德國,已確定其 ISO/IEC 27001 與 ISO/IEC 27018 的合規性。 稽核者身為合規性驗證程序之一部分,在適用聲明中確認 Microsoft 範圍內雲端服務和商業技術支援服務已合併 ISO/IEC 27018 控制,用來保護 Azure 中的 PII。 若要維持合規性,Microsoft 雲端服務必須每年接受第三方檢閱。

透過遵循 ISO/IEC 27001 的標準以及具體化於 ISO/IEC 27018 的工作條例規定,第一家合併此工作條例規定的主要雲端提供者 Microsoft 證明其隱私原則和程序是穩健且符合其高標準。

  • Microsoft 雲端服務的客戶知道其資料儲存的位置。 由於 ISO/IEC 27018 要求經認證的 CSP 通知客戶其資料可能儲存的國家/地區,因此 Microsoft 雲端服務客戶具有所需的可見度以遵循任何適用的資訊安全規則。
  • 客戶資料不會沒有明確許可前即用來行銷或廣告。 某些 CSP 使用客戶資料做為其個別的商業目的,包括目標廣告。 由於 Microsoft 採用 ISO/IEC 27018 作為其範圍內企業雲端服務,因此客戶大可放心其資料永遠不會在明確許可前以此目的遭使用,而許可也不能成為雲端服務使用的條件。
  • Microsoft 客戶知道其 PII 的現行狀況。 ISO/IEC 27018 需要允許在合理的期間內傳回、轉移和安全處置個人資訊的原則。 如果 Microsoft 與其他需要存取客戶資料的公司合作,Microsoft 會主動地公開這些子處理者的身分識別。
  • Microsoft 僅遵循具有法律約束力之客戶資料公開的要求。 如果 Microsoft 必須遵守這項要求 (例如犯罪調查),我們一定會先行通知客戶,除非法律有所禁止。

Microsoft 範圍內雲端平台與服務

  • Azure、Azure Government 和 Azure 德國
  • Azure DevOps Services
  • Dynamics 365、Dynamics 365 和 Dynamics 365 Germany
  • Intune
  • Microsoft 雲端應用程式安全性
  • Microsoft 專業服務:Azure、Dynamics 365、Intune 及商務用 Microsoft 365 中型企業和企業客戶的頂級與內部部署
  • Microsoft Graph
  • Microsoft Healthcare Bot
  • Microsoft 受管理的電腦
  • Microsoft 威脅專家
  • Microsoft Stream
  • Office 365、Office 365 美國政府和 Office 365 美國政府國防版
  • Office 365 德國
  • OMS 服務對應
  • Power Automate (先前為 Microsoft Flow) 雲端服務可作為獨立服務或包含在 Office 365 或 Dynamics 365 品牌方案或套件中
  • PowerApps 雲端服務可作為獨立服務或包含在 Office 365 或 Dynamics 365 品牌方案或套件中
  • Power BI 雲端服務可作為獨立服務或包含在 Office 365 品牌方案或套件中
  • Power BI Embedded
  • Power Virtual Agent
  • 適用於端點的 Microsoft Defender: 端點偵測與回應、自動調查與補救、安全分數
  • Windows 365

Azure、Dynamics 365 和 ISO/IEC 27018

如需 Azure、Dynamics 365 及其他線上服務合規性的詳細資訊,請參閱 Azure ISO/IEC 27018 供應項目

Office 365 和 ISO ISO/IEC 27018

Office 365 雲端環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 雲端環境:

  • 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
  • Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
  • Office 365 政府社群雲端 (GCC)Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
  • Office 365 政府社群雲端 - High (GCC High)Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
  • Office 365 DoD (DoD)Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性:

適用性 範圍內服務
商業 Access Online、Azure Active Directory、Azure Communications Service、合規性管理員、客戶加密箱、Delve、Exchange Online Protection、Exchange Online、Forms、Griffin、Identity Manager、Lockbox (Torus)、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 進階合規性附加元件、Office 365 客戶入口網站、Office 365 微服務 (包含但不限 Kaizala、ObjectStore、Sway、PowerPoint Online Document Service、Query Annotation Service、學校資料同步處理、Siphon、Speech、StaffHub、eXtensible Application Program)、Office 365 安全性與合規性中心、Office Online、Office 專業增強版、Office Services Infrastructure、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、Project Online、使用客戶金鑰的服務加密、SharePoint Online、商務用 Skype、Stream
GCC Azure Active Directory、Azure Communications Service、合規性管理員、Delve、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、MyAnalytics、Office 365 進階合規性附加元件、Office 365 安全性與合規性中心、Office Online、Office 專業增強版、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、Stream
GCC High Azure Active Directory、Azure Communications Service、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、Office 365 進階合規性附加元件、Office 365 安全性與合規性中心、Office Online、Office 專業增強版、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype
DoD Azure Active Directory、Azure Communications Service、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、Office 365 進階合規性附加元件、Office 365 安全性與合規性中心、Office Online、Office 專業增強版、商務用 OneDrive、Planner、Power BI、SharePoint Online、商務用 Skype

Office 365 稽核、報告和認證

Microsoft 雲端和商業技術支援服務會一年根據 ISO/IEC 27018 工作條例規定進行一次稽核,以作為 ISO/IEC 27001 認證程序的一部分。

常見問題集

ISO/IEC 27018 適用於何者?

此工作條例規定適用於在其他組織合約之下處理 PII 的 CSP。 在 Microsoft,這也適用於對這些 CSP 的支援。

「個人資訊控制者」與「個人資訊處理者」有何不同?

在 ISO/IEC 27018 之中:

  • 「控制者」控制個人資訊的集合、持有、處理或使用;它們包含代表另一家公司控制的人員。
  • 「處理者」則代表控制者處理資訊;它們不會針對如何使用資訊或處理目的做決策。 Microsoft 做為您的供應商,是為您提供企業雲端服務的資訊處理者。

我可以在何處檢視 ISO/IEC 27018 的 Office 365 合規性資訊?

  • 您可以檢閱 BSI (驗證 Microsoft 是否符合 ISO/IEC 27018 的獨立稽核者)為 Office 365 頒發的 ISO/IEC 27018 認證。

我是否可以在組織的認證程序中使用 Microsoft 合規性?

是的。如果 ISO/IEC 27018 合規性對您的企業和在任何 Microsoft 範圍內的企業雲端服務所部署的實作很重要,您可以在合規性評定中使用 Microsoft 的 ISO/IEC 27018 認證,並搭配 Microsoft 的 ISO/IEC 27001 認證。

不過,您有責任確保處理者有參與評估合規性的實作,以及組織中的控制和程序。

使用 Microsoft 合規性管理員來評估風險

Microsoft 合規性管理員Microsoft 365 合規性中心的功能,可協助您了解組織的合規性狀況,並採取行動以協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估

資源