公有云中保护PII的操作规范与安全控制

本文档是关于使用自动驾驶仿真软件Prescan的用户手册，主要涉及了信息安全管理方面的内容，符合ISO27001和ISO27018标准，旨在保护个人可识别信息（PII）的安全。内容涵盖数据保护、加密、存储介质管理、用户ID管理和公共数据传输等方面。 在保护PII方面，有几个关键控制点： 1. A.10.4 控制离开场所的存储介质上的数据：确保只有授权人员能够访问存储在离开组织场所的介质上的PII，一般通过加密数据来实现这一目标。 2. A.10.5 使用未加密的便携式存储介质和设备：禁止使用不能加密的便携设备，除非必要，并记录其使用情况，以加强监管。 3. A.10.6 通过公共数据传输网络传输的PII加密：在PII通过公共网络传输前必须进行加密，以防止数据在传输过程中被非法获取。 4. 公有云PII保护实施指南：在多服务商环境中，应维护用户配置文件，记录授权访问信息系统的用户，确保数据传输安全，同时考虑不同服务提供商的角色。 5. A.10.7 硬拷贝材料的安全处理：规定销毁纸质材料时应使用物理手段如切碎、焚烧等，确保信息无法恢复。 6. A.10.8 用户ID的唯一用法：每个访问PII的个人应有独立的用户ID，以便识别、验证和授权。 7. A.10.9 授权用户的记录：需保持最新的授权用户记录，包括用户配置文件，以便追踪和管理访问权限。 8. A.10.10 用户ID管理：不应将未激活或过期的用户ID分配给其他人，以防止未经授权的访问。 这个手册特别关注云服务提供商在处理PII时的责任，强调了公有云服务提供商作为PII处理者的角色，他们必须遵守与客户合同中约定的保护PII的义务。同时，云服务租户可以是PII主体或控制者，他们对数据处理和使用负有更广泛的责任。国际标准ISO27002和ISO27018提供了指导，帮助云服务提供商遵守相关法规，提高透明度，协助签订合同，并为租户提供审计和合规的手段。 这个手册提供了全面的信息安全框架，确保在使用自动驾驶仿真软件Prescan的过程中，涉及到的个人敏感信息能得到妥善保护，符合国际信息安全和隐私保护的标准。