保护云中个人数据的 ISO/IEC 27018 行为守则

ISO/IEC 27018 概述

国际标准化组织 (ISO) 是一个独立的非政府组织,是全球最大的自愿性国际标准开发者联盟。 ISO/IEC 27000 系列标准可帮助每种类型和规模的组织确保信息资产安全无虞。

ISO 于 2014 年采用了第一个国际云隐私行为守则 ISO/IEC 27018:2014(ISO/IEC 27001 的附录)。 该标准基于欧盟数据保护法律,为充当个人身份信息 (PII) 处理者的云服务提供商 (CSP) 提供有关评估风险和实施先进控制措施的专门指导,以便保护 PII。

Microsoft 和 ISO/IEC 27018

至少一年一次,Microsoft Azure 和 Azure 德国会由一个经认可的第三方认证机构对其是否符合 ISO/IEC 27001 和 ISO/IEC 27018 进行审核,以提供独立验证,证明适用的安全控制措施已经就位且有效运行。 作为此合规性验证过程的一部分,审核员会在其适用性声明中确认 Microsoft 范围内云服务和商业技术支持服务已包含 ISO/IEC 27018 控制措施,可保护 Azure 中的 PII。 为保持合规性,Microsoft 云服务必须接受第三方年度审核。

通过遵循 ISO/IEC 27001 标准以及 ISO/IEC 27018 包含的行为守则,Microsoft 作为第一家纳入此行为守则的主要云提供商,能够证明其隐私政策和过程安全可靠,且符合其高标准。

  • Microsoft 云服务客户知道其数据的存储位置。 因为 ISO/IEC 27018 要求经认证的 CSP 告知客户将其数据存储在哪个国家/地区,所以,Microsoft 云服务客户可以看到他们需要遵守的任何适用的信息安全性规则。
  • 未经明确同意,客户数据不会被用于市场营销或广告宣传。 某些 CSP 会出于其自身商业目的使用客户数据,包括进行有针对性的广告宣传。 由于 Microsoft 已对其范围内企业云服务采用了 ISO/IEC 27018,因此,未经客户明确同意,其数据绝不会用于此类目的,并且“同意”并不表示可以无条件使用云服务,客户在这方面大可放心。
  • Microsoft 客户了解其 PII 的使用情况。 ISO/IEC 27018 要求制定相应策略,以允许在合理期限内返回、传输和安全处置个人信息。 如果 Microsoft 与需要访问客户数据的其他公司合作,Microsoft 将主动公开这些附属处理者的身份。
  • 在客户数据披露方面,Microsoft 仅遵守具有法律约束力的请求。 如果 Microsoft 必须遵守如刑事侦察这样的请求,Microsoft 将始终通知客户,除非法律禁止这样做。

Microsoft 范围内的云平台和云服务

  • Azure、Azure 政府和 Azure 德国
  • Azure DevOps Services
  • Dynamics 365、Dynamics 365 和 Dynamics 365 德国
  • Intune
  • Microsoft 云应用安全
  • Microsoft 专业服务:针对 Azure、Dynamics 365、Intune 及 Microsoft 365 商业版中型企业客户的高级和本地支持。
  • Microsoft Graph
  • Microsoft 医疗保健机器人
  • Microsoft 托管桌面
  • Microsoft 威胁专家
  • Microsoft Stream
  • Office 365、Office 365 U.S. Government 和 Office 365 U.S. Government Defense
  • Office 365 德国
  • OMS Service Map
  • Power Automate (以前称为 Microsoft Flow): 云服务作为独立服务提供,或者随 Office 365 或 Dynamics 365 品牌计划或套件一并提供
  • PowerApps 云服务:作为独立服务提供,或者随 Office 365 或 Dynamics 365 品牌计划或套件一并提供
  • Power BI 云服务:作为独立服务提供,或者随 Office 365 品牌计划或套件一并提供
  • Power BI Embedded
  • Power Virtual Agents
  • Microsoft Defender for Endpoint:终结点检测和响应、自动调查与修正、安全分数
  • Windows 365

Azure、Dynamics 365 和 ISO ISO/IEC 27018

有关 Azure、Dynamics 365 和其他联机服务合规性的详细信息,请参阅 Azure ISO/IEC 27018 产品/服务

Office 365 和 ISO ISO/IEC 27018

Office 365 云环境

Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。

本部分介绍以下 Office 365 云环境:

  • 客户端软件(客户端):客户设备上运行的商业客户端软件。
  • Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
  • Office 365 政府社区云 (GCC)Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
  • Office 365 政府社区云 - 高 (GCC High)Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
  • Office 365 DoD (DoD)Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。

使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。

你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。

Office 365 适用性和范围内的服务

使用下表确定 Office 365 服务和订阅的适用性:

适用性 范围内服务
商业 Access Online, Azure Active Directory, Azure 通信服务, 合规性管理器, 客户密码箱, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, 身份管理器, 密码箱 (Torus), Microsoft Defender for Office 365, Microsoft Teams, MyAnalytics, Office 365 高级合规版加载项, Office 365 客户门户, Office 365 微服务(包括但不限于 Kaizala、ObjectStore、Sway、PowerPoint Online Document Service、查询批注服务、学校数据同步、Siphon、语音、StaffHub、可扩展应用程序计划), Office 365 安全与合规中心, Office Online, Office Pro Plus, Office 服务基础结构, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, Project Online, 使用客户密钥执行服务加密, SharePoint Online, Skype for Business, Stream
GCC Azure Active Directory、Azure 通信服务、合规性管理器、Delve、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 高级合规版附加产品、Office 365 安全与合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream
GCC 高级 Azure Active Directory、Azure 通信服务、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 高级合规版附加产品、Office 365 安全与合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business
DoD Azure Active Directory, Azure 通信服务, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, Office 365 高级合规版加载项, Office 365 安全与合规中心, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business

Office 365 审核、报告和证书

作为 ISO/IEC 27001 认证过程的一部分,每年会对 Microsoft 云服务和商业技术支持服务进行一次 ISO/IEC 27018 行为守则审核。

常见问题解答

ISO/IEC 27018 适用于哪些对象?

该行为守则适用于根据合同处理其他组织的 PII 的 CSP。 在 Microsoft,它还适用于这些 CSP 的支持。

“个人信息控制者”和“个人信息处理者”之间有何区别?

在 ISO/IEC 27018 背景下:

  • “控制者”控制个人信息的收集、保留、处理或使用;其中包括代表其他公司控制信息的人员。
  • “处理者”代表控制者处理信息;他们不决定如何使用信息或处理的目的。 在提供企业云服务时,Microsoft(作为你的供应商)是信息处理者。

可在何处查看针对 ISO/IEC 27018 的 Office 365 合规性信息?

  • 你可以查看来自 BSI(验证 Microsoft 符合 ISO/IEC 27018 的独立审计师)的 Office 365 的 ISO/IEC 27018 证书。

能否在我组织的认证过程中使用 Microsoft 的合规性认证?

可以。如果符合 ISO/IEC 27018 对你的业务及在任何 Microsoft 范围内企业云服务上部署的实施非常重要,则可在合规性评估中使用 Microsoft 的 ISO/IEC 27018 合规性证明和 Microsoft 的 ISO/IEC 27001 合规性证书。

但是,你需要负责聘请评估方来评估合规性政策的实施情况,以及所在组织中的控制措施和流程。

使用 Microsoft 合规性管理器评估风险

Microsoft 合规性管理器Microsoft 365 合规中心中的一项预览功能,旨在帮助你了解组织的合规情况并采取措施帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估

资源