ISO/IEC27018又称“云隐保护认证”,是由英国标准协会(BSI)制定,主要针对云服务商对云中个人数据的安全防护的认证,旨在为云个人身份信息处理者提供一套实务守则,以保护公共云中的个人身份信息(PII)不受侵犯,是目前国际上、严格、也是被广泛接受和应用的信息安全体系认证。
ISO/IEC27018 是一个专注于保护公共云中个人可识别信息(Personal Identifiable Information,PII)的。它是基于ISO/IEC27002信息安全控制框架的一个扩展,专门针对云服务提供商(CSPs)设计。该标准为云服务提供商提供了一套指导原则和控制措施,确保在处理个人数据时能够遵循隐私保护的更好实践,符合全球各地的隐私法律和法规要求。
2、认证适用范围:ISO27018认证适用于任何部门的大型或小型组织,该标准特别适用于在云端环境中存储个人资料(例如工资单,税单、客户付款明细等等)的保护。不一定非要从事互联网,其他行业也可以适用,目前申报企业的分类为:
●政务机构:国家机关、税务机构、海关等。
●公共机构:医院、大学、科研机构、低科研、社会保障、医疗服务教育、通信、广播电视、新闻出版等。
●商务机构:金融、电子机构、物流等。
●企业:电子商务、交通运输、信息与通信技术、治金、采矿、食品、药品、烟草、农、林、牧、副、渔业、电力、铁路、民航、化工、航空航天、水利等。
ISO27018认证标准主要包括以下内容:
数据处理的目的和方式:云服务提供商应该明确规定个人数据的处理目的和方式,并且只能根据用户的授权进行数据处理。
个人数据的保留时间:云服务提供商应该明确规定个人数据的保留时间,并且在达到保留期限后,及时删除或者匿名化个人数据。
个人数据的披露和共享:云服务提供商应该明确规定个人数据的披露和共享要求,并且在未经用户授权的情况下,不得披露或共享个人数据。
个人数据的安全措施:云服务提供商应该采取一系列的技术和组织措施,保护个人数据的安全,防止数据泄露、篡改和丢失。
用户的权利和选择:云服务提供商应该确保用户能够行使自己的权利,包括访问、更正、删除和限制处理个人数据的权利。
(1)激发对企业的信任:为客户和利益相关者提供更大的保证,即个人根据和信息受到保护;
(2)竞争优势:通过大限度地保护个人信息,在竞争对手中脱颖而出;
(3)品牌保护:减少由于数据泄露而引起的不利宣传的风险;
(4)降低风险:确保识别风险,并采取控制措施来管理或降低风险;
(5)防止罚款:确保遵守当地法规,减少数据泄露的罚款风险;
(6)发展业务:提供不同国家/地区的通用准则,使在全球开展业务变得更容易,并可以作为供应商。
(1)企业需持有工商行政管理部门颁发的《企业法人营业执照》等有效资质文件;
(2)申请方应按照有效标准(ISO/IEC27018)的要求在组织内建立公有云中个人可识别信息保护体系,并实施运行至少3个月以上;
(3)至少完成一次内部审核,并进行了有效的管理评审;
(4)管理体系运行期间及申请前的一年内未受到主管部门xingzhengchufa。
(1)、基本资料(营业执照、行政许可(如有)、临时场所清单等);
(2)、有效的ISMS认证证书或ISMS认证申请;
(3)、支持公有云中个人可识别信息保护管理体系的规程和控制措施;
(4)、隐私影响评估报告(含隐私影响评估方法的描述);
(5)、适用性声明;
(6)、适用的法律法规的标准的清单;
(7)、《管理体系认证申请书》中的具体事项。
7、认证流程: