保護雲端中個人資料的 ISO/IEC 27018 工作條例規定
ISO/IEC 27018 概觀
國際標準組織 (ISO) 是獨立的非政府組織,以及全球最大的自願性國際標準開發者。 ISO/IEC 27000 標準系列可幫助各類型跟大小的組織保持資訊資產安全。
ISO 在 2014 年採用 ISO/IEC 27018:2014,此為 ISO/IEC 27001 的增補合約,並為雲端隱私權的第一個國際工作條例規定。 根據歐盟資料保護規定,它對作為個人識別資訊 (PII) 處理者的雲端服務提供者 (CSP) 提供特定指引,為保護 PII 評估風險和實作最先進的控制措施。
Microsoft 和 ISO/IEC 27018
Microsoft Azure 和 Azure 德國每年至少會稽核一次是否符合 ISO/IEC 27001 和 ISO/IEC 27018 的認證協力廠商認證機構。 此稽核會提供獨立的驗證,以確認適用的安全性控制措施已就緒且可有效運作。 稽核者身為合規性驗證程序之一部分,在適用聲明中確認 Microsoft 範圍內雲端服務和商業技術支援服務已合併 ISO/IEC 27018 控制,用來保護 Azure 中的 PII。 若要維持合規性,Microsoft 雲端服務必須每年接受第三方檢閱。
遵循 ISO/IEC 27001 的標準和 ISO/IEC 27018 中所含的實務程式碼,Microsoft 示範其隱私權原則和程式的健全性,並符合其高標準。
- Microsoft 雲端服務的客戶知道其資料儲存的位置。 由於 ISO/IEC 27018 要求經認證的 CSP 通知客戶其資料可能儲存的國家/地區,因此 Microsoft 雲端服務客戶具有所需的可見度以遵循任何適用的資訊安全規則。
- 客戶資料不會沒有明確許可前即用來行銷或廣告。 某些 CSP 使用客戶資料做為其個別的商業目的,包括目標廣告。 由於 Microsoft 已針對其範圍內的企業雲端服務採用 ISO/IEC 27018,因此客戶可以放心地確保其資料在未經明確同意的情況下永遠不會用於這類用途,而且該同意不能是使用雲端服務的條件。
- Microsoft 客戶知道其 PII 的現行狀況。 ISO/IEC 27018 需要允許在合理的期間內傳回、轉移和安全處置個人資訊的原則。 如果 Microsoft 與其他需要存取客戶資料的公司合作,Microsoft 會主動地公開這些子處理者的身分識別。
- Microsoft 僅遵循具有法律約束力之客戶資料公開的要求。 如果 Microsoft 必須遵守這類要求, (如) 的犯罪調查案例,除非法律禁止客戶這麼做,否則一律會通知客戶。
Microsoft 範圍內的雲端平臺 & 服務
- Azure、Azure Government 和 Azure 德國
- Azure DevOps Services
- Dynamics 365、Dynamics 365 和 Dynamics 365 Germany
- Intune
- Microsoft 雲端 App 安全性
- Microsoft 專業服務:Azure、Dynamics 365、Intune 及商務用 Microsoft 365 中型企業和企業客戶的頂級與內部部署
- Microsoft Graph
- Microsoft Healthcare Bot
- Microsoft 受管理的電腦
- Microsoft 威脅專家
- Microsoft Stream
- Office 365、Office 365 美國政府和 Office 365 美國政府國防版
- Office 365 德國
- OMS 服務對應
- Power Automate (先前為 Microsoft Flow) 雲端服務可作為獨立服務或包含在 Office 365 或 Dynamics 365 品牌方案或套件中
- PowerApps 雲端服務可作為獨立服務或包含在 Office 365 或 Dynamics 365 品牌方案或套件中
- Power BI 雲端服務可作為獨立服務或包含在 Office 365 品牌方案或套件中
- Power BI Embedded
- Power Virtual Agent
- 適用於端點的 Microsoft Defender:端點偵測 &回應、自動調查 & 補救、安全分數
- Windows 365
Azure、Dynamics 365 和 ISO/IEC 27018
如需 Azure、Dynamics 365 及其他線上服務合規性的詳細資訊,請參閱 Azure ISO/IEC 27018 供應項目。
Office 365 和 ISO ISO/IEC 27018
Office 365環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋下列Office 365環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
| 適用性 | 範圍內服務 |
|---|---|
| 商業 | Access Online, Microsoft Entra ID, Azure Communications Service, Compliance Manager, Customer Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Marketplace, Identity Manager, Lockbox (Torus) ,適用於 Office 365 的 Microsoft Defender、Microsoft Teams、MyAnalytics、Office 365 進階合規性附加元件、Office 365客戶入口網站、Office 365微服務 (包括但不限於 Kaizala、ObjectStore、Sway、PowerPoint Online 檔服務、查詢批註服務、學校資料同步、Siphon、語音、StaffHub、eXtensible Application Program) 、Office 365 Security & Compliance Center、Office Online、Office Pro Plus、Office Services Infrastructure、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、Project Online、使用 Microsoft Purview 客戶金鑰的服務加密、SharePoint Online、商務用 Skype、Stream |
| GCC | Microsoft Entra識別碼、Azure 通訊服務、合規性管理員、Delve、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、MyAnalytics、Office 365 進階合規性附加元件、Office 365安全性 &合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、Stream |
| GCC High | Microsoft Entra識別碼、Azure 通訊服務、Exchange Online、表單、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、Office 365 進階合規性附加元件、Office 365安全性 &合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype |
| DoD | Microsoft Entra識別碼、Azure 通訊服務、Exchange Online、表單、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、Office 365 進階合規性附加元件、Office 365安全性 &合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、Power BI、SharePoint Online、商務用 Skype |
Office 365 稽核、報告和認證
Microsoft 雲端和商業技術支援服務會一年根據 ISO/IEC 27018 工作條例規定進行一次稽核,以作為 ISO/IEC 27001 認證程序的一部分。
常見問題集
ISO/IEC 27018 適用於何者?
此工作條例規定適用於在其他組織合約之下處理 PII 的 CSP。 在 Microsoft,這也適用於對這些 CSP 的支援。
「個人資訊控制者」與「個人資訊處理者」有何不同?
在 ISO/IEC 27018 之中:
- 'Controllers' 可控制個人資訊的收集、保存、處理或使用;其中包括代表另一家公司控制該服務的物件。
- 代表控制器的「處理器」處理資訊;它們不會決定如何使用資訊或處理的目的。 Microsoft 做為您的供應商,是為您提供企業雲端服務的資訊處理者。
我可以在何處檢視 ISO/IEC 27018 的 Office 365 合規性資訊?
- 您可以檢閱 BSI (驗證 Microsoft 是否符合 ISO/IEC 27018 的獨立稽核者)為 Office 365 頒發的 ISO/IEC 27018 認證。
我是否可以在組織的憑證程序中使用 Microsoft 合規性?
是。 如果 ISO/IEC 27018 合規性對您的企業和在任何 Microsoft 範圍內的企業雲端服務作部署的實作很重要,您可以在合規性評定中使用 Microsoft 的 ISO/IEC 27018 證明,並搭配 Microsoft 的 ISO/IEC 27001 憑證。
不過,您必須負責讓評估人員參與評估您的合規性實作,以及組織內的控制項和程式。
使用 Microsoft Purview 合規性管理員來評估您的風險
Microsoft Purview 合規性管理員是Microsoft Purview 合規性入口網站中的一項功能,可協助您瞭解組織的合規性狀態,並採取動作來協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。
資源
意見反映
提交及檢視以下的意見反映: