国际标准化组织（ISO）已发布了ISO27018 的第二版：ISO/IEC 27018:2019，该指南是针对处理个人身份信息（PII）的云服务提供商的指南，该指南最初于2014年发布。

众所周知，信息技术世界和保护个人身份信息是一个不断发展的问题。 我们在这里讨论了ISO/IEC 27018:2019与其他关键法规（例如GDPR）之间的相互作用。

现在，有了ISO提出的这一新指南ISO/IEC 27018:2019，就引出了一个问题：这是主要变化还是次要变化？

简短的答案嵌入在第2节的序言中：“第二版取消并替代了第一版（ISO/IEC 27018:2014），该第一版构成较小的修订。 与上一版相比，主要变化是对附件A中编辑错误的更正。”

这意味着，对于大多数意图和目的，ISO/IEC 27018:2019中规定的指南在很大程度上保持不变，但有一些警告。 注意：

1）任何对ISO/IEC 27018:2019作为国际标准的引用均已修改，以反映它现在是“文档”。

这源于技术性，即ISO/IEC 27018:2019并非组织可以依据的标准，而是控制和指南的附加子集，可以增强组织现有的信息安全管理系统，而该系统也将通过ISO 27001（信息安全）进行认证。管理体系标准。

2）对某些辅助动词进行次要更新，以更恰当地满足不同行业组织的独特需求。

这并不反映对ISO/IEC 27018:2019控件的目的和宗旨的任何彻底改变，而似乎只是ISO方面的一种尝试，目的是更简单地介绍组织可以负责的事情。 考虑到2014年版本中大多数“可能”实例已更新为“可以”，这一点很明显。 尽管文档中有许多示例，但附件A中的一个此类实例发生在《使用密码控制政策》的公共云PII实施指南（A.10.1.1）中，其中指出：“公共云PII处理器应提供信息。向云服务客户提供有关使用加密技术保护其处理的PII的情况的信息。 公共云PII处理器还应向云服务客户提供有关其提供的任何可以帮助云服务客户应用其自己的密码保护功能的信息。

3）在用于PII保护的公共云处理器扩展控制集（以前称为A1 – A11）的开头添加了“常规”背景部分。

尽管在本节中未规定任何新的控件，但从技术上来说，添加“常规”节将构成其自己的节，从而将控件集扩展到A1至A12。 隐私原则（即同意和选择，目的合法性和规范等）保持不变，并且基本控制总体保持不变，除了上面第2节中提到的原则外，没有任何重大更新。 ISO27018 的上一版在技术上已包括了“常规”部分的确切说明，但未标识为其单独的部分，此处包括了相关说明：和ISO/IEC 27002中的指南（请参阅第5至18条），构成了扩展的控件集，以满足对PII保护的要求，这些要求适用于充当PII处理器的公共云服务提供商。 这些附加控件根据ISO/IEC 29100的11隐私原则进行分类。在许多情况下，控件可以根据一种以上的隐私原则进行分类。 在这种情况下，它们将根据最相关的原则进行分类。”

如果您代表的组织已通过ISMS并通过了ISO 27018：2014所规定的控制措施而获得了ISO 27001认证，则以上信息应可缓解任何有关需要立即进行彻底更改的担忧。