개요
ISO/IEC 27018은 PII 처리자로서 공용 클라우드에서 처리되는 개인식별정보(PII)를 보호하기 위한 실무 지침입니다. 동의, 투명성, 데이터 반환 및 삭제, 침해 통지를 다루는 프라이버시 통제로 ISO/IEC 27002를 확장하며, GDPR 제28조 처리자 의무를 직접 지원합니다.
준수 대상
고객을 대신하여 고객 또는 최종 사용자의 개인정보를 처리하는 공용 클라우드 제공자 및 SaaS 공급업체로, 특히 그 고객 자신이 GDPR의 적용을 받는 경우입니다.
IntelligenceX의 지원 방식
27018의 PII 처리자 통제 대비 갭 평가
클라우드 프라이버시 관행과 ISMS의 정렬
시정 및 심사 지원(ISO 27001 확장)
GDPR 제28조 처리자 의무 매핑
고객 PII 처리 투명성 및 동의 문서화
갭 평가ISMS 설계내부 감사1단계 및 2단계 지원개선 가이던스인증 준비
자주 묻는 질문
아니요. 27018은 견고한 클라우드 PII 처리를 입증하고 GDPR 처리자 의무를 강력하게 지원하지만, GDPR 준수는 법적 판단입니다. 저희는 27018 통제를 GDPR 제28조에 매핑합니다.
클라우드에서 개인정보를 처리한다면 그렇습니다. 27017은 클라우드를 보호하고, 27018은 그 안의 개인정보를 규율합니다. 저희는 흔히 두 확장을 병행하여 진행합니다.
예. 두 가지 모두 귀사의 ISO 27001 심사 범위 내에서 평가되는 확장이므로, 클라우드에서 개인정보를 처리할 때는 보통 증거와 단일 심사를 공유하며 함께 진행합니다. 27017은 클라우드 환경을 보호하고 27018은 그 안의 개인정보를 규율합니다.