保护云中个人数据的 ISO/IEC 27018 行为守则

ISO/IEC 27018 概述

国际标准化组织 (ISO) 是一个独立的非政府组织,是全球最大的自愿性国际标准开发者联盟。 ISO/IEC 27000 系列标准可帮助每种类型和规模的组织确保信息资产安全无虞。

ISO 于 2014 年采用了第一个国际云隐私行为守则 ISO/IEC 27018:2014(ISO/IEC 27001 的附录)。 该标准基于欧盟数据保护法律,为充当个人身份信息 (PII) 处理者的云服务提供商 (CSP) 提供有关评估风险和实施先进控制措施的专门指导,以便保护 PII。

Microsoft 和 ISO/IEC 27018

经认证的第三方认证机构每年至少对 Microsoft Azure 和 Azure 德国进行一次符合 ISO/IEC 27001 和 ISO/IEC 27018 的审核。 此审核提供独立验证,证明适用的安全控制措施已到位并有效运行。 作为此合规性验证过程的一部分,审核员会在其适用性声明中确认 Microsoft 范围内云服务和商业技术支持服务已包含 ISO/IEC 27018 控制措施,可保护 Azure 中的 PII。 为保持合规性,Microsoft 云服务必须接受第三方年度审核。

通过遵循 ISO/IEC 27001 标准和 ISO/IEC 27018 中体现的行为准则,Microsoft表明其隐私策略和程序稳健且符合其高标准。

  • Microsoft 云服务客户知道其数据的存储位置。 因为 ISO/IEC 27018 要求经认证的 CSP 告知客户将其数据存储在哪个国家/地区,所以,Microsoft 云服务客户可以看到他们需要遵守的任何适用的信息安全性规则。
  • 未经明确同意,客户数据不会被用于市场营销或广告宣传。 某些 CSP 会出于其自身商业目的使用客户数据,包括进行有针对性的广告宣传。 由于Microsoft已对其范围内的企业云服务采用 ISO/IEC 27018,因此客户可以放心,未经明确同意,他们的数据永远不会用于此类目的,并且同意不能成为使用云服务的条件。
  • Microsoft 客户了解其 PII 的使用情况。 ISO/IEC 27018 要求制定相应策略,以允许在合理期限内返回、传输和安全处置个人信息。 如果 Microsoft 与需要访问客户数据的其他公司合作,Microsoft 将主动公开这些附属处理者的身份。
  • 在客户数据披露方面,Microsoft 仅遵守具有法律约束力的请求。 如果Microsoft必须遵守此类请求, (在刑事调查) 的情况下,它将始终通知客户,除非法律禁止这样做。

Microsoft 范围内的云平台和云服务

  • Azure、Azure 政府和 Azure 德国
  • Azure DevOps Services
  • Dynamics 365、Dynamics 365 和 Dynamics 365 德国
  • Intune
  • Microsoft Defender for Cloud Apps
  • Microsoft 专业服务:针对 Azure、Dynamics 365、Intune 及 Microsoft 365 商业版中型企业客户的高级和本地支持。
  • Microsoft Graph
  • Microsoft 医疗保健机器人
  • Microsoft 托管桌面
  • Microsoft 威胁专家
  • Microsoft Stream
  • Office 365、Office 365 U.S. Government 和 Office 365 U.S. Government Defense
  • Office 365 德国
  • OMS Service Map
  • Power Automate (以前称为 Microsoft Flow): 云服务作为独立服务提供,或者随 Office 365 或 Dynamics 365 品牌计划或套件一并提供
  • PowerApps 云服务:作为独立服务提供,或者随 Office 365 或 Dynamics 365 品牌计划或套件一并提供
  • Power BI 云服务:作为独立服务提供,或者随 Office 365 品牌计划或套件一并提供
  • Power BI Embedded
  • Power Virtual Agents
  • Microsoft Defender for Endpoint:终结点检测和响应、自动调查与修正、安全分数
  • Windows 365

Azure、Dynamics 365 和 ISO ISO/IEC 27018

有关 Azure、Dynamics 365 和其他联机服务合规性的详细信息,请参阅 Azure ISO/IEC 27018 产品/服务

Office 365 和 ISO ISO/IEC 27018

Office 365 环境

Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。

本部分介绍以下 Office 365 环境:

  • 客户端软件(客户端):客户设备上运行的商业客户端软件。
  • Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
  • Office 365 政府社区云 (GCC)Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
  • Office 365 政府社区云 - 高 (GCC High)Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
  • Office 365 DoD (DoD)Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。

使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。

你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。

Office 365 适用性和范围内的服务

使用下表确定 Office 365 服务和订阅的适用性:

适用性 范围内服务
商业 Access Online、Microsoft Entra ID、Azure 通信服务、合规性管理器、客户密码箱、 Delve、Exchange Online Protection、Exchange Online、Forms、Griffin、Identity Manager、Lockbox (Torus) 、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 Advanced Compliance 加载项、Office 365 客户门户、Office 365 微服务 (包括但不限于 Kaizala、ObjectStore、Sway、PowerPoint Online 文档服务、 查询批注服务、学校数据同步、虹吸管、语音、StaffHub、可扩展应用程序计划) 、Office 365 安全 & 合规中心、Office Online、Office 专业增强版、Office 服务基础结构、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、Project Online、使用 Microsoft Purview 客户密钥的服务加密、SharePoint Online、Skype for Business、Stream
GCC Microsoft Entra ID、Azure Communications Service、Compliance Manager、Delve、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 高级合规性加载项、Office 365 安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream
GCC 高级 Microsoft Entra ID、Azure Communications Service、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 高级合规性加载项、Office 365 安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business
DoD Microsoft Entra ID、Azure Communications Service、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 高级合规性加载项、Office 365 安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、Power BI、SharePoint Online、Skype for Business

Office 365 审核、报告和证书

作为 ISO/IEC 27001 认证过程的一部分,每年会对 Microsoft 云服务和商业技术支持服务进行一次 ISO/IEC 27018 行为守则审核。

常见问题解答

ISO/IEC 27018 适用于哪些对象?

该行为守则适用于根据合同处理其他组织的 PII 的 CSP。 在 Microsoft,它还适用于这些 CSP 的支持。

“个人信息控制者”和“个人信息处理者”之间有何区别?

在 ISO/IEC 27018 背景下:

  • “控制者”控制个人信息的收集、保留、处理或使用;他们包括代表另一家公司控制它的各方。
  • “处理器”代表控制器处理信息;他们不会决定如何使用信息或处理目的。 在提供企业云服务时,Microsoft(作为你的供应商)是信息处理者。

可在何处查看针对 ISO/IEC 27018 的 Office 365 合规性信息?

  • 你可以查看来自 BSI(验证 Microsoft 符合 ISO/IEC 27018 的独立审计师)的 Office 365 的 ISO/IEC 27018 证书。

能否在我组织的认证过程中使用 Microsoft 的合规性认证?

可以。 如果符合 ISO/IEC 27018 对你的业务及在任何 Microsoft 范围内企业云服务上部署的实施非常重要,则可在合规性评估中使用 Microsoft 的 ISO/IEC 27018 合规性证明和 Microsoft 的 ISO/IEC 27001 合规性证书。

但是,你负责聘请评估员来评估实现的合规性,以及你自己的组织中的控制和流程。

使用 Microsoft Purview 合规性管理器评估风险

Microsoft Purview 合规性管理器Microsoft Purview 合规性门户中 的一项功能,可帮助你了解组织的合规性状况,并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估

资源