18138236659

国内认证

ISO/IEC27018-2019标准公有云个人识别信息安全管理体系认证介绍

对于组织和消费者而言,云具有大量优势:比如节省成本、灵活性以及移动访问信息均深受青睐。但云同样也引发人们对数据保护和隐私方面的担忧,尤其是涉及个人可识别信息。在信息、数据、高科技爆炸的时代,隐私的保护比以往任何时候都更为重要。在此背景下,ISO(国际标准化组织)于2014年发布了一项新的标准ISO/IEC 27018 公有云中个人可识别信息保护管理体系(CPIISMS,又称“公有云个人信息保护管理体系”或“云隐私保护管理体系”)。那么,ISO/IEC 27018能够为企业提供什么?它又为何如此重要?超越检测技术中心给大家进行解读。

什么是ISO27018

ISO/IEC27018标准是首个专注于云中个人数据保护的国际行为准则,在体系结构上沿用了被广泛使用且备受重视的ISO/IEC 27002信息安全控制行为准则的框架,提供了适用于公共云个人身份信息 (PII) 的 ISO/IEC 27002 控制措施实施指导。ISO/IEC 27018对ISO/IEC27002的扩展体现在两个方面:

一是在原有的ISMS标准的附录A中114个控制条款延展了15%的要求,主要对在公有云中PII 的处理者保护PII 提出了额外的控制要求,并将控制要求更具体化;

二是根据ISO/IEC29100的11个隐私原则增加了11个ISO/IEC27018特定的PII保护附加控制条款。

扩展主要体现在以下几点:

1、在存储和任何可移动的物理介质中,对PII进行加密的要求;

2、一旦数据不再需要,在指定的时间内删除PII;

3、符合云服务协议中明文规定的目的时,才进行PII处理;

4、如法规所明文规定,在处理PII原则的权利问题上,可检查和纠正PII。

获证收益:

ISO27018认证适用于各个行业类别,只要从事信息领域服务的任何大型或小型组织都可以申请认证。通过ISO27018认证的组织和企业可以获得如下收益:

1、获取信任——为客户和利益相关者提供更大的保证,即个人根据和信息受到保护;

2、竞争优势——通过最大限度地保护个人信息,在竞争对手中脱颖而出;

3、品牌保护——减少由于数据泄露而引起的不利宣传的风险;

4、降低风险——确保识别风险,并采取控制措施来管理或降低风险;

5、防止罚款——确保遵守当地法规,减少数据泄露的罚款风险;

申请ISO27018认证的条件:

1、企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件。

2、申请方已按照ISO27018标准要求建立体系并实施运行3个月以上。

3、至少完成一次云安全风险评估、内部审核,并进行了管理评审。

4、体系运行期间及建立体系前一年内未受到主管部门行政处罚。

5、ISMS是CPIISMS的基础和前提,申请CPIISMS的组织应已经建立信息安全管理体系,且通过了ISMS 认证或准备同时申请ISMS 认证

6、申请的CPIISMS认证范围需不大于组织的ISMS的认证范围,超出的认证范围必须先安排对其ISMS实施专项扩大审核后,再安排CPIISMS 的审核。

申请ISO27018认证需要提供的资料:

1、组织法律证明资料(营业执照、行政许可(如有)、临时场所清单等)

2、 有效的ISMS 认证证书或ISMS 认证申请

3、支持公有云中个人可识别信息保护管理体系的体系文件(包括管理手册、程序文件、策略和作业文件、运行记录,适用性声明);

4、 隐私影响评估报告(含隐私影响评估方法的描述);

5、申请组织内部审核和管理评审的证明资料

6、适用的法律法规的标准的清单;

7、标准要求的其他文件;

证书查询 联系方式 在线咨询