ISO/IEC 27018:2025 新版标准发布
一、 ISO/IEC 27018:2025 新版标准内容详解
新版 ISO/IEC 27018 的核心目标没有改变,依然是为作为“个人可识别信息处理者”(PII Processor)的公有云服务提供商(Public Cloud Service Provider)提供一套保护云中 PII 的控制措施和实施指南。
然而,其结构和内容发生了根本性的重塑。最大的变化是完全对齐了最新版的通用信息安全控制标准 ISO/IEC 27002:2022。
1. 核心结构变化:从14个域到4大主题
旧版(2019版)的控制措施结构沿用了旧版 ISO/IEC 27002 的14个控制域(如 A.5 信息安全策略、A.12 操作安全等)。而新版(2025版)则采用了 ISO/IEC 27002:2022 的全新结构,将控制措施分为4个主题(tdemes):
组织控制 (Organizational Controls):共37项。涉及信息安全策略、角色职责、资产管理、风险管理、供应链安全等方面。
人员控制 (People Controls):共8项。涉及人员筛选、意识培训、远程工作、保密协议等方面。
物理控制 (Physical Controls):共14项。涉及安全区域、物理安防、设备维护、安全弃置等方面。
技术控制 (Technological Controls):共34项。涉及访问控制、加密、网络安全、恶意软件防护、数据泄露防护、安全开发等方面。
2. 控制措施总数和内容更新
数量变化:控制措施总数从旧版的114项,整合、更新、合并后变为93项。
引入新控制:引入了11个在旧版中没有的全新控制措施,例如:
威胁情报 (tdreat intelligence):要求云服务商主动收集和分析威胁情报,以预测和应对针对PII的威胁。
ICT供应链信息安全 (Information security for use of cloud services):虽然27018本身就是关于云服务的,但这里也强调了云服务商自身在使用其他云服务(形成服务链)时的安全管理。
数据遮蔽 (Data masking):在旧版中是“匿名化和假名化”的一部分,现在作为一个独立的技术控制被强调,用于在非生产环境中保护PII。
数据泄露防护 (Data leakage prevention):成为一项更加明确和独立的技术控制要求。
Web过滤 (Web filtering):防止用户通过公司网络访问恶意网站,从而保护整个云环境的安全。
3. 引入“属性”(Attributes)概念
这是继承自 ISO/IEC 27002:2022 的一个非常实用的新特性。每个控制措施都被打上了5种不同维度的“标签”(属性),方便使用者从不同视角进行筛选和管理:
控制类型 (Control types):例如,预防性、检测性、纠正性。
信息安全属性 (Information security properties):对应CIA三元组——保密性、完整性、可用性。
网络安全概念 (Cybersecurity concepts):与NIST网络安全框架对齐,如识别、保护、检测、响应、恢复。
操作能力 (Operational capabilities):从实践角度分类,如治理、资产管理、信息保护等。
安全域 (Security domains):如治理与生态系统、保护、防御、韧性。
这个属性系统使得云服务商可以更容易地将 ISO/IEC 27018 的控制措施与企业内部其他的合规框架(如NIST CSF)或风险管理流程进行映射。
4. PII保护的扩展指南
新版标准的核心价值依然体现在附录A (Annex A)中。附录A详细说明了作为 PII 处理者,应如何实施上述93项通用控制措施,并给出了针对PII保护的额外实施指南。
例如,对于技术控制中的“访问控制 (Access control)”:
通用指南:确保只有授权用户才能访问信息。
27018额外指南:会特别强调,云服务客户(PII控制者)应能管理和控制其自己用户的访问权限,云服务商的员工(如客服、运维)在没有客户明确授权的情况下,不得访问客户存储的PII。
同样,对于“日志记录 (Logging)”:
通用指南:记录用户活动、异常和安全事件。
27018额外指南:会明确要求记录所有对PII的访问和操作日志,并且这些日志本身要受到严格保护,防止被篡改或未经授权的访问,同时要能提供给客户进行审计。
5. 术语更新
为了与 ISO/IEC 29100(隐私框架)保持一致,新版标准更多地使用 “PII Principal” 来代替旧版中常用的“Data Subject”(数据主体),使其术语体系更加统一。
二、 新旧版本(2025 vs 2019)对比总结
| 特性 | ISO/IEC 27018:2019 (旧版) | ISO/IEC 27018:2025 (新版) | 主要变化和影响 |
| 基础框架 | 基于 ISO/IEC 27002:2013 | 基于 ISO/IEC 27002:2022 | 根本性变化。结构完全重塑,需要重新进行差距分析和控制措施映射。 |
| 控制结构 | 14个控制域,35个控制目标 | 4个主题(组织、人员、物理、技术) | 结构更现代化,逻辑更清晰,便于理解和实施。 |
| 控制数量 | 114 项控制措施 | 93 项控制措施(合并、更新、新增) | 数量减少但覆盖面更广、更 актуальный。旧控制被合并,并引入了11个新控制。 |
| 新增控制 | 无(基于旧框架) | 新增威胁情报、数据遮蔽、数据泄露防护等11项新控制。 | 应对了新的安全威胁和技术趋势,如数据驱动的威胁防御和更精细化的数据保护。 |
| 管理工具 | 纯列表形式 | 引入“属性” (Attributes) 概念 | 极大地增强了标准的可用性,方便按不同维度筛选、分类和对标其他框架。 |
| PII指南 | 附录A提供针对114项控制的PII扩展指南 | 附录A提供针对新的93项控制的PII扩展指南 | 指南内容本身被更新和重组,以适应新的控制框架。更强调PII生命周期各环节的保护。 |
| 术语 | 混合使用 "Data Subject" 等 | 更多地采用 "PII Principal" | 与ISO隐私标准家族(如29100)的术语保持一致,专业性更强。 |
| 附录映射 | 无 | 提供新旧版本控制措施的映射表(通常在附录B) | 对过渡至关重要。帮助已认证2019版的组织快速找到新版对应的控制项,简化迁移工作。 |
三、 对组织的影响和建议
对于已经通过或正在准备 ISO/IEC 27018:2019 认证的云服务提供商,新标准的发布意味着:
必须进行过渡:认证机构会设定一个过渡期(通常为2-3年)。在此期限后,旧版认证将失效。
进行差距分析:需要立即基于 FDIS 或正式发布的版本,将现有的信息安全和隐私保护体系与新版的93项控制措施进行比对,识别差距。
重新映射控制措施:利用标准附录中的新旧控制映射表,将现有的策略、流程和证据重新关联到新的控制项上。
实施新要求:重点关注11个新增的控制措施,评估是否需要引入新的技术或管理流程(如建立威胁情报分析机制、部署DLP工具等)。
更新文档体系:所有相关文档,包括风险评估报告、适用性声明(SoA)、策略和程序文件,都必须更新以反映新的控制结构和编号。
全员培训:对相关员工进行新版标准的培训,特别是安全、合规、法务和运维团队。
总而言之,ISO/IEC 27018:2025 是一次重大的、根本性的升级,而非简单的修订。 它通过与现代化的 ISO/IEC 27002:2022 对齐,使云中PII保护的实践指南更加贴近当前的网络安全和隐私保护格局。虽然过渡需要投入资源,但新标准提供的清晰结构、实用属性和 актуальный 控制措施,将帮助云服务商更有效地构建和展示其隐私保护能力。
