什么是ISO27018
ISO/IEC27018标准是首个专注于云中个人数据保护的国际行为准则,在体系结构上沿用了被广泛使用且备受重视的ISO/IEC 27002信息安全控制行为准则的框架,提供了适用于公共云个人身份信息 (PII) 的 ISO/IEC 27002 控制措施实施指导。ISO/IEC 27018对ISO/IEC27002的扩展体现在两个方面:
一是在原有的ISMS标准的附录A中114个控制条款延展了15%的要求,主要对在公有云中PII 的处理者保护PII 提出了额外的控制要求,并将控制要求更具体化;
二是根据ISO/IEC29100的11个隐私原则增加了11个ISO/IEC27018特定的PII保护附加控制条款。
扩展主要体现在以下几点:
1、在存储和任何可移动的物理介质中,对PII进行加密的要求;
2、一旦数据不再需要,在指定的时间内删除PII;
3、符合云服务协议中明文规定的目的时,才进行PII处理;
4、如法规所明文规定,在处理PII原则的权利问题上,可检查和纠正PII。
ISO27018认证适用于各个行业类别,只要从事信息领域服务的任何大型或小型组织都可以申请认证。通过ISO27018认证的组织和企业可以获得如下收益:
1、获取信任——为客户和利益相关者提供更大的保证,即个人根据和信息受到保护;
2、竞争优势——通过最大限度地保护个人信息,在竞争对手中脱颖而出;
3、品牌保护——减少由于数据泄露而引起的不利宣传的风险;
4、降低风险——确保识别风险,并采取控制措施来管理或降低风险;
5、防止罚款——确保遵守当地法规,减少数据泄露的罚款风险;
1、企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件。
2、申请方已按照ISO27018标准要求建立体系并实施运行3个月以上。
3、至少完成一次云安全风险评估、内部审核,并进行了管理评审。
4、体系运行期间及建立体系前一年内未受到主管部门行政处罚。
5、ISMS是CPIISMS的基础和前提,申请CPIISMS的组织应已经建立信息安全管理体系,且通过了ISMS 认证或准备同时申请ISMS 认证。
6、申请的CPIISMS认证范围需不大于组织的ISMS的认证范围,超出的认证范围必须先安排对其ISMS实施专项扩大审核后,再安排CPIISMS 的审核。
1、组织法律证明资料(营业执照、行政许可(如有)、临时场所清单等)
2、 有效的ISMS 认证证书或ISMS 认证申请
3、支持公有云中个人可识别信息保护管理体系的体系文件(包括管理手册、程序文件、策略和作业文件、运行记录,适用性声明);
4、 隐私影响评估报告(含隐私影响评估方法的描述);
5、申请组织内部审核和管理评审的证明资料;
6、适用的法律法规的标准的清单;
7、标准要求的其他文件;