一、ISO/IEC 27018:2025 5.3 标准原文
条款要义(依据标准条款主题和控制目标整理):公有云服务提供商应识别并分离与个人身份信息(PII)处理相关的相互冲突职责,避免同一主体同时控制批准、执行、验证、取证、日志保护、数据导出、删除返还、恢复读取和供应链接入等高风险链路,从而降低误用、舞弊、越权访问和证据失真的风险。
本条在27018中的重点,是防止某一人或某一角色同时拥有“能看、能改、能导、能删、还能把痕迹抹掉”的完整能力组合。
二、标准条款解读说明
2.1 为什么PII处理链中的职责冲突比普通IT场景更值得警惕
在一般IT运维中,职责分离通常被理解为审批人与执行人分开、开发与发布分开、财务录入与复核分开等。这些原则在27018场景下同样适用,但风险密度更高。因为公有云PII处理链中,一次不当组合权限可能直接导致客户数据被过度导出、错误删除、越权恢复、静默访问,或者在事后根本无法证明发生过什么。
例如,如果同一个工程师既能批准自己的临时提权,又能在后台跨租户查看数据,还能删除相关日志,那么组织几乎失去了对访问边界的有效制衡;如果同一团队既负责客户删除请求执行,又负责删除完成确认和例外说明,客户就很难获得可信的独立验证;如果同一角色既能恢复备份,又能决定恢复数据向谁开放,恢复流程就可能成为非常隐蔽的PII暴露入口。对PII处理者来说,这些都不是理论风险,而是非常实际的运营风险。
因此,5.3要求组织不要只在传统审批流程里做职责分离,还要深入到PII高风险操作链中,识别哪些职责组合一旦集中就会使客户边界、证据链和问责能力失去意义。
2.2 在公有云PII处理中最常见的冲突职责组合
| 高风险场景 | 不应集中在同一角色的职责 | 可能带来的后果 | 分离方向 |
|---|---|---|---|
| PII导出 | 申请、批准、执行、对外发送 | 导出行为失去有效制衡 | 至少分离批准与执行,并保留复核 |
| 删除与返还 | 删除执行、例外判断、完成确认、客户说明 | 删除承诺难以独立验证 | 执行与确认分离,例外审批独立 |
| 恢复与备份访问 | 恢复触发、恢复执行、恢复后数据开放 | 备份副本成为无约束访问入口 | 恢复批准与恢复操作分离 |
| 支持后台访问 | 工单发起、临时提权批准、实际访问、访问痕迹保护 | 支持访问无法被可信审查 | 提权批准与后台访问、日志管理分离 |
| 日志与证据管理 | 操作执行、日志维护、日志删除或修改 | 证据可被行为人自行掩盖 | 日志保护和审计角色独立 |
2.3 5.3真正要防的是“单点掌控完整链路”
有些组织会机械理解职责分离,认为只要流程上多签一个字就算完成。但在公有云PII场景里,真正要避免的是单点掌控:一个人既提出需求又批准自己,既执行动作又验证合规,既查看数据又管理日志,既恢复副本又决定谁能看恢复结果。只要完整链路被单点控制,制度上有多少审批节点都可能失效。
因此,5.3的设计应当优先识别那些一旦被同一角色拿到就会明显削弱客户信任的组合权限,而不是平均用力地要求所有流程都两人参与。换句话说,职责分离强调的是关键制衡点,而不是形式上的流程复杂化。
2.4 人少并不是放弃职责分离的理由
中小团队或高压运维场景常常会说:“我们人就这么多,根本分不开。”这在现实里确实常见,但并不意味着5.3可以被忽略。成熟做法通常是识别最关键的冲突点,在无法完全分离时引入补偿控制,例如:更强的会话审计、事后独立复核、总部或独立团队批准、临时授权到期回收、关键日志只读保护和异常操作自动告警。真正不可接受的,不是人员有限,而是在明知高风险职责集中的情况下仍长期没有任何补偿机制。
三、实施要点
3.1 先识别PII处理链中的冲突职责组合
- 优先从导出、删除、恢复、支持访问、日志管理、供应链接入和高权限提权这些高风险场景开始识别。
- 不要只看组织图,要看实际系统权限和流程节点组合后谁真的能一人完成整条链。
- 许多表面上“流程合规”的问题,实际都隐藏在系统权限集中上。
3.2 把分离设计落到审批、权限和日志保护三层
- 审批层要分离申请与批准;权限层要避免同一角色兼具执行与监督能力;日志层要确保操作人无法自行修改或抹除关键证据。
- 三层中只做一层通常不够,因为高风险用户往往会利用另一层绕过控制。
- 对PII高风险动作,最好同时做到职责分离和证据分离。
3.3 对高风险临时权限使用JIT和时限控制
- 很多冲突职责来自长期常驻高权限。通过按工单临时授予、短时有效和自动回收,可以显著降低职责集中风险。
- 尤其对跨租户支持、备份恢复读取和批量导出这类能力,更适合采用临时权限模式。
- 长期常驻高风险权限,几乎总会削弱职责分离效果。
3.4 对无法完全分离的场景设计补偿控制
- 对于小团队、值班场景或极端故障处置,可采用双人复核、独立日志审计、次日复盘、管理层批准和更强留痕等方式补偿。
- 关键是例外不能被默许为常态,且补偿控制必须真实可执行。
- 没有记录和复核的例外,实际上等同于没有分离。
3.5 定期审查冲突职责是否因变化重新出现
- 系统升级、团队合并、角色调整、区域扩展和供应链变化后,原本分离良好的职责组合可能重新被集中。
- 应通过权限审计、流程抽查和异常分析周期性检查冲突组合。
- 职责分离不是一次设计,而是持续维护的边界工程。
四、常用工具与实施方法
| 工具/方法 | 用途 | 公有云PII实施建议 | 典型输出 |
|---|---|---|---|
| 冲突职责矩阵 | 识别高风险组合 | 重点覆盖导出、删除、恢复、日志和支持访问 | 冲突清单 |
| JIT临时授权 | 减少长期常驻高风险权限 | 对跨租户查看、备份读取和批量导出采用限时授权 | 提权记录 |
| 双人复核与独立确认 | 控制关键动作 | 适用于删除完成确认、恢复触发和高风险导出 | 复核记录 |
| 日志保护与独立审计 | 防止行为人掩盖痕迹 | 将日志管理与高风险操作执行角色分离 | 审计日志 |
| 例外补偿控制台账 | 管理无法完全分离的场景 | 记录原因、批准、补偿措施和复盘结果 | 例外清单 |
五、典型案例
案例一:同一工程师既能申请又能批准跨租户导出
- 背景:某平台为了提高处理效率,让高级支持工程师在系统中自行申请并批准导出。
- 问题:表面上流程存在,实则申请、批准和执行都落在同一人身上,导出几乎失去制衡。
- 5.3动作:平台把批准权移交给独立角色,并对高风险导出增加复核和留痕。
- 结果:导出行为不再由单点控制。
- 启示:流程节点存在,不等于职责已分离。
案例二:恢复管理员既能读取备份又能决定谁可见恢复结果
- 背景:某平台恢复演练时,由同一名管理员执行恢复、检查内容并将结果共享给相关人员。
- 问题:该角色实际上掌握了副本读取与开放边界的完整链路。
- 5.3动作:组织将恢复触发批准、恢复执行和恢复后开放确认拆分给不同角色。
- 结果:备份副本不再成为单点高权限的隐形后门。
- 启示:恢复流程中的职责集中通常比正常流程更容易被忽略。
案例三:日志管理员可修改记录,导致支持访问难以独立取证
- 背景:支持团队中的一名高权限人员同时负责访问后台和维护相关日志策略。
- 问题:一旦发生争议,该人员理论上可以影响自身行为痕迹的完整性。
- 5.3动作:平台将日志保护与访问执行角色拆开,并把关键日志交给独立安全团队审查。
- 结果:支持访问开始具备更可信的证据基础。
- 启示:最该分离的,往往是“做事的人”和“保存痕迹的人”。
六、成文信息管理要求
5.3在审核中通常会被结合权限与流程样本抽查。审核员会关注组织是否识别了高风险冲突职责、是否落实在系统权限和审批流中、是否对例外场景保留补偿控制和复盘证据。
| 建议文件或记录 | 关键内容 | 责任部门 | 审核价值 |
|---|---|---|---|
| 职责分离制度或矩阵 | 冲突职责定义、高风险场景和分离要求 | 安全/隐私/内控 | 证明组织已系统识别冲突点 |
| 流程与权限配置记录 | 审批流、角色权限、JIT规则和日志保护配置 | IAM/IT/平台治理 | 证明分离要求已进入实际系统 |
| 例外与补偿控制记录 | 人员受限场景、批准人、补偿措施和复盘结果 | 管理层/安全/运维 | 证明例外不等于失控 |
| 权限审计与复核记录 | 冲突职责组合扫描、偏差整改和周期性审查 | 内审/安全/IAM | 证明组织持续维护职责分离边界 |
| 关键操作复核证据 | 导出、删除、恢复和日志审计样本 | 业务/安全/平台团队 | 证明高风险链路没有被单点掌控 |
七、常见误区及踩坑提醒
| 误区 | 表现 | 正确做法 |
|---|---|---|
| 职责分离只适用于财务审批 | 导出、删除、恢复和日志场景长期无人关注 | 优先覆盖PII高风险操作链 |
| 审批流里有两步就算分离 | 同一人可以在系统里既申请又批准 | 验证实际权限是否真的分开 |
| 人少就完全不做职责分离 | 高风险权限长期集中在单个值班角色 | 引入补偿控制和例外复盘 |
| 只分离执行,不分离日志控制 | 行为人仍可影响证据完整性 | 将高风险操作与日志保护职责拆开 |
| 临时提权不会影响职责分离 | 临时权限常驻化,形成事实上的单点掌控 | 对临时权限设置短时、审批和自动回收 |
| 职责分离设计一次就够了 | 架构变化后冲突组合重新出现却无人察觉 | 持续做权限审计和场景复盘 |