公有云中PII保护规范：ISO 27002下的信息安全审查

"该文档是关于信息安全审查的，特别是针对自动驾驶仿真软件Prescan的用户手册。主要内容涉及到如何遵循法律和合同要求以及信息安全的独立审查，其中引用了ISO / IEC 27002:2013标准，并提到了与公有云中个人可识别信息(PII)保护相关的ISO27001和ISO27018标准。文档强调了在处理PII时，云服务提供商应确保符合法律、合同条款，以及提供独立审计证据以证明信息安全的合规性。此外，还介绍了公有云服务提供商在处理PII时的角色，以及他们与云服务租户之间的责任区分。" 本文档主要涵盖的知识点： 1. **信息安全审查** - 根据ISO / IEC 27002:2013标准，组织需要进行独立的信息安全审查，以确保其系统和流程符合法律和合同要求。这一过程包括对信息安全的独立评估，以验证组织是否按照既定的政策和标准运作。 2. **法律和合同遵守** - 组织需遵守适用的法律和合同要求，特别是在处理敏感信息如个人可识别信息(PII)时。这要求组织在合同签订前和合同期间提供证据，证明其有能力保护PII，特别是在公有云环境中。 3. **公有云中的PII保护** - ISO27001和ISO27018标准为公有云服务提供商提供了处理PII的操作规范。作为PII处理者，公有云服务提供商需要根据客户指示处理PII，并确保透明度，以便客户能选择合适的服务。云服务租户可能同时是PII的控制者，因此他们承担着更广泛的数据保护义务。 4. **独立审计** - 在某些情况下，公有云服务提供商可能需要进行独立审计，以证明其遵循了处理PII的政策和程序，尤其是在个别租户审计不可行或可能增加安全风险时。这为租户提供了保证，确保云服务提供商的数据处理行为符合法规和合同规定。 5. **云服务租户的责任** - 云服务租户不仅有权处理和使用数据，而且有责任确保这些活动符合与公有云PII处理者的合同条款，以及适用的数据保护法律法规。租户还需要有能力执行审计和合规性检查。 6. **云环境下的安全控制** - 在多租户和虚拟化的云环境中，由于直接审计可能不切实际且可能增加风险，因此需要有机制来确保云服务的安全，如物理和逻辑网络安全控制。 这些知识点为使用Prescan或其他自动驾驶仿真软件的组织提供了一套信息安全和隐私保护的框架，确保在进行复杂模拟测试时，能够合法且安全地处理数据。