对于组织和消费者而言，云具有大量优势：比如节省成本、灵活性以及移动访问信息均深受青睐。但云同样也引发人们对数据保护和隐私方面的担忧，尤其是涉及个人可识别信息。个人可识别信息（PII）包括任何可用以确定特定用户身份的信息。比较直接的例子包括您的名字、联系方式。但也有一些个人身份信息不常容易让人联想到，例如病历卡、IP 地址和银行对账单。目前已经公布的ISO/IEC 27018 标准与 ISO/IEC 27001 标准配合使用，可用于支持其基础设施通过标准认证的云服务提供商告知其现有和潜在客户，其数据得到了安全的保护，不会被用于任何其未明确同意的用途。
认证依据
ISO/IEC 27018《信息技术 - 公有云中作为个人可识别信息（PII）处理器的个人身份信息保护实用规则》
ISO/IEC 27018 标准简介
这一标准包含若干指南，根据 ISO 定义，这些指南旨在：
? 帮助公有云服务供应商在作为 PII 处理者开展业务时承担必要的责任，无论此类责任是否直接或通过合同明确应；
? 使公有云 PII 处理者在相关事务中保持透明，从而让客户可以选择经过良好治理的，基于云的 PII 处理服务；
? 协助客户和公有云 PII 处理者达成合同协议；
? 为云服务客户提供行使审核和合规权利及责任的机制。单独的—个人云服务客户审核托管在多方虚拟化服务器（云）环境中的数据可能在技术上不切实际，同时可能增大物理及逻辑的网络安全风险。
尽管这些只是一些尚待完善的原则，但如果审视这些原则的含义以及它们能够如何为客户提供帮助，我们就可看到，第一次有了针对个人数据处理的真正框架。
ISO/IEC 27018 将 ISO/IEC27002 中描述的一系列安全控制作为基础，然后以两种方式扩展。首先，在许多领域中扩展了现有的安全控制，以处理云服务客户和云服务供应商之间的责任。其次，添加了一组新的安全控制，以反映 ISO/IEC 29100 隐私框架标准中定义的隐私原则。
扩展的安全控制包括如下:
? 在存储和任何可移动的物理介质中，对 PII 进行加密的要求；
? 一旦数据不再需要，在指定的时间内删除 PII； ? 符合云服务协议中明文规定的目的时，才进行 PII 处理；
? 如法规所明文规定，在处理 PII 原则的权利问题上，可检查和纠正 PII。 ISO/IEC 27018 能够确保云服务供应商在处理 PII 方面有着适当的程序。它还可以
帮助制定更强的云服务协议。该标准就 PII 的问题，规定了 CSPs 如何培训员工，需要
什么文件程序，并提供了相应的方针和知道。ISO/IEC 27018 旨在为云服务客户提供真正的透明度，以便客户能够清楚了解云服务供应商商在保护和保护个人数据方面所做的事情。在实施这一标准时，企业须考虑到下列三个方面：
?是否有企业必须遵守的现有法律和法规要求，包括任何行业特定规则和法规；
?遵守 ISO/IEC 27018 是否会为企业招致更多风险；
?采用此标准是否会与企业的政策和企业文化背道而驰。