ISO27018公有云中个人可识别信息保护管理体系认证介绍

一、ISO27018公有云中个人可识别信息保护管理体系认证的背景

在信息网络、大数据时代下,随着云服务的发展,最近发生多起破坏用户数据的违规行为。因而,对于云服务提供商来说,确保用户个人信息的安全比以往任何时候都更加重要。作为目前国际公认的云个人信息保护的最佳实践,ISO27018已得到越来越跨国云服务提供商和使用者的认可和采纳。

 

二、什么是ISO27018公有云中个人可识别信息保护管理体系认证?

ISO/IEC27018标准是一个主要针对保护云计算中个人数据安全的国际标准。又称‘公有云个人可识别信息(PII)信息安全管理体系公共云中个人身份信息安全体系公有云个人隐私保护体系云中个人数据安全管理体系云隐私保护管理体系’等。

同时ISO/IEC 27018管理体系(简称:CPIISMS)是基于ISO27001信息安全管理体系(以下简称:ISMS)扩展的管理体系。

CPIISMS 对ISMS 附录A 扩展的要求有两个方面:

(1)在原有的ISMS 标准的附录A 中114 控制条款延展了15%的要求,主要对在公有云中PII 的处理者保护PII 提出了额外的控制要求,并将控制要求更具体化;

(2)在ISMS 标准附录A 中的114 个控制条款基础上,根据ISO/IEC 29100 的11个隐私原则增加了11个CPIISMS 特定的PII 保护附加控制条款。

 图片1.png


三、ISO27018公有云中个人可识别信息保护管理体系认证适用行业范围:

ISO27018认证适用于各个行业类别,只要从事信息领域服务的能接触公有云中个人信息任何大小型组织都可以申请认证。

该标准特別适用于在云端环境中存储个人资料(例如工资单,人员资料或客户付款明细)的保护。现在,GDPR现已生效,对于组织而言,证明合规性并显示其如何保护数据(尤其是存储在不同位置的数据)至关重要。目前申报企业的分类为:

 

 图片2.png


四、企业进行ISO27018公有云中个人可识别信息保护管理体系认证的好处:

1、提升企业安全实力:为客户和利益相关者提供最大程度的信息安全保护;

2、提升企业竞争优势:通过最大限度地保护个人信息,在竞争对手中脱颖而出;

3、提升企业品牌形象:减少由于数据泄露而引起的不利宣传的风险;

4、降低企业安全风险:确保识别风险,并采取控制措施来管理或降低风险;

5、防止罚款:确保遵守当地法规,减少数据泄露的罚款风险;

6、发展国际业务:提供不同国家/地区的通用准则,使得在全球开展业务变得更加容易。

7、招投标的加分项:市场竞争的需要。

 

ISO27018公有云中个人可识别信息保护管理体系认证申报条件:

1、ISO27018认证是在ISO27001信息安全管理体系的基础上建立、实施和扩展的,ISO27001是ISO27018认证的基础和前提条件。申请ISO27018认证的组织应已经建立信息安全管理体系,且通过了ISO27001认证或准备同时申请ISO27001认证。

2、申请的ISO27018认证范围不能大于组织的ISO27001覆盖范围,超出的认证范围必须先安排对其ISO27001实施专项扩大审核后,再安排ISO27018的审核。

 

ISO27018公有云中个人可识别信息保护管理体系的认证流程

1、建立公有云中个人可识别信息保护管理体系,并通过企业内审和管

2、向认证机构提交认证申请书、手册、程序文件等资料

3、认证机构受理后,安排审核员进行现场审核

4、审核结束,一般会进行不符合项的整改,整改完成通过后,颁发证书证书有效期三年,每年需年审以保持证书

 

七、申请ISO27018认证的注意事项:

1、若企业的ISO27001认证证书过期失效、暂停或撤销时,ISO27018认证证书会同时过期失效、暂停或撤销。


点击关闭
  • CMMI认证客服

    CMMI3认证客服

    CMMI咨询

    CMMI4认证