ISO27018公有云个人隐私信息安全管理体系-湘应企服

ISO27018认证是什么？

ISO27018又称“云隐保护认证“，是由英国标准协会(BSI)制定，主要针对云服务商对云中个人数据的安全防护的认证。旨在为云个人身份信息处理者提供一套实务守则，以保护公共云中的个人身份信息(PII)不受侵犯，是目前国际上、严格、也是被广泛接受和应用的信息安全体系认证。ISO27018管理体系（以下简称：CPIISMS）是基于ISO27001信息安全管理体系（以下简称：ISMS）扩展的管理体系，它基于ISO/IEC信息安全标准27002，提供了适用于公共云个人身份信息 (PII) 的 ISO/IEC 27002 控制措施实施指导。

它还提供了一组额外的控制措施和相关指导，旨在解决现有的ISO/IEC27002控制措施及未解决的公共云 PII 保护要求。

ISO27018适合哪些组织？

ISO27018认证适用于任何部门的大型或小型组织，该标准特别适用于在云端环境中存储个人资料（例如工资单，税单、客户付款明细等等）的保护。不一定非要从事互联网，其他行业也可以适用，目前申报企业的分类为：

●政务机构：国家机关、税务机构、海关等。

●公共机构：医院、大学、科研机构、低科研、社会保障、医疗服务教育、通信、广播电视、新闻出版等。

●商务机构：金融、电子机构、物流等。

●企业：电子商务、交通运输、信息与通信技术、治金、采矿、食品、药品、烟草、农、林、牧、副、渔业、电力、铁路、民航、化工、航空航天、水利等。

通过ISO27018认证的好处

对于云提供商，确保消费者信息的安全性是要务。鉴于近发生的破坏用户数据的违规行为，通过获得认证可以为组织提供全球公认的安全控制。它还向云提供商的客户展示了他们在保护消费者数据方面的重要性。这为能够宣称自己有能力确保客户信息安全的公司提供了独特的营销优势。

1、提高组织的可信度：

激发对您业务的信任为您的客户和利益相关者提供更大的保证，即个人数据和信启受到保护，即有能力为客户和利益相关者提供更充分的数据；

2、竞争优势：

通过大限度地保护个人信息，在竞争对手中脱颖而出；

3、品牌保护：

减少由于数据泄露而导致的品牌危机；

4、降低风险：

提高识别风险能力，并采取控制措施来管理或降低风险；

5、防范法律风险：

确保遵守当地法规，减少数据泄露的罚款风险；

6、发展业务：

提供不同国家/地区的通用准则，使在全球开展业务变得更容易。

申请ISO27018的前提条件！

1、公有云中个人可识别信息保护管理体系（CPIISMS）是在ISO/IEC27001:2013 信息安全管理体系的基础上建立、实施和扩展的，ISMS 是CPIISMS的基础和前提条件。申请CPIISMS 的组织应已经建立信息安全管理体系，且通过了ISMS 认证或准备申请ISMS认证。

【ISO27018对ISO27001扩展的体现有两个方面：

▲在原有的ISMS标准的附录A中114个控制条款延展了15%的要求，主要对在公有云中PII的处理者保护PII提出了额外的控制要求，并将控制要求更具体化；

▲根据ISO29100的11个隐私原则增加了11个ISO27018特定的PII保护附加控制条款】

2、申请的CPIISMS认证范围需不大于组织的ISMS的认证范围，超出的认证范围必须先安排对其ISMS实施专项扩大审核后，再安排CPIISMS的审核。

ISO27018认证需要的材料

1、组织法律证明资料(营业执照、行政许可、临时场所清单等)；

2、有效的ISMS认证证书或ISMS认证申请；

3、支持公有云中个人可识别信息保护管理体系的规程和控制措施(包括管理手册、程序文件、策略和作业文件、运行记录，适用性声明)；

4、隐私影响评估报告(含隐私影响评估方法的描述)；

5、申请组织内部审核和管理评审的证明资料以及适用性声明；

6、适用的法律法规的标准的清单；

7、《管理体系认证申请书》中的具体事项。