[新知] 新版BS 10012:2017標準已正式發佈

新版BS 10012:2017標準已正式在2017年3月31日正式發佈，新版標準主要是因應歐盟在2016年4月14日所通過的資料保護法規GDPR (General Data Protection Regulation )，它預計將在2018年5月25日正式取代在1995年所通過的歐盟個人資料保護指令European Directive (95/46/EC)之要求。


新版BS 10012:2017的主要改變包括了：

• 重新定義個人和敏感資料 
• 使用個人資料進行分析的限制 
• 針對資料隱私官(data privacy officers)的管理要求 
• 擬匿名化資料(Pseudonymous data)的涵蓋 
• 廢止通知和註冊之要求 
• 對處理同意提出更嚴格的要求 
• 當事人存取權利的改變 
• 強化刪除的權利和新的盈利權 
• 安全事故的通知要求 
• 隱私設計和隱私衝擊評估要求 
• 將法律延伸涵蓋資料處理者 
• 排除依據安全港協議將資料傳輸至美國

另外，為了讓組織能更加容易整合已實施的多個管理制度和標準，BS 10012:2017也採用了ISO的High Level Structure，使得它的內容章節能夠和其他的國際標準，像是ISO 9000/14000/22301及 ISO/IEC 27001等趨於一致。

其主要之章節如下:
1. Scope
2. Normative references
3. Terms and definitions
4. Context of the organization
5. Leadership
6. Planning
7. Support
8. Operation
9. Performance evaluation
10. Improvement

[專欄] 以ISO/IEC 27018 強化雲端上的個資安全

隨著個人資料保護法的實施和民眾對於個人隱私保護意識的增加，對於日漸普及的雲端服務，一旦包含了民眾的個人資料處理，對於資訊安全要求就顯得更加重要。對雲端服務提供商而言，如何讓雲端服務的客戶和其使用者，能夠信賴雲端服務的安全機制，並且願意使用雲端服務，透過取得國際標準的認證，將是一個最佳的展現方式。

由於科技的進步，傳統的商業模式和服務，時至今日已經逐漸轉型，透過高度資訊化和方便的網路連結，讓各項交易和服務能夠以更即時的方式來運作。目前，應用雲端運算的強大資源，資訊服務也能夠以更有效率且節約成本的方式，傳遞給不分國界的使用者。在使用雲端科技方面，關於服務本身的透明度與資料的安全性，已是受到普遍關注的議題。以公有雲的服務來說，某種程度上就是一種委外服務，就像傳統的金融服務一樣，民眾在考量是否要將貴重物品或金錢存放在某家銀行時，主要考量的要素就是銀行是不是值得讓人信賴。同理，雲端服務客戶在採用雲端服務時，也會關心自己重要且有價值的資訊，是否能夠獲得雲端服務提供商妥善且安全地處理。