带您了解ISO27018公有云个人隐私信息安全管理体系

前言

     在信息网络、大数据时代下，针对个人隐私的保护真的非常重要，对于云提供商来说，确保消费者信息的安全性也成了发展要务。作为目前国际公认的云个人信息保护的佳实践，ISO27018已得到诸多跨国云服务提供商和使用者的认可和采纳。

1、认证定义：

      ISO/IEC27018又称“云隐保护认证”，是由英国标准协会（BSI）制定，主要针对云服务商对云中个人数据的安全防护的认证，旨在为云个人身份信息处理者提供一套实务守则，以保护公共云中的个人身份信息（PII）不受侵犯，是目前国际上、严格、也是被广泛接受和应用的信息安全体系认证。

      ISO/IEC27018 是一个专注于保护公共云中个人可识别信息(Personal Identifiable Information,PII)的。它是基于ISO/IEC27002信息安全控制框架的一个扩展，专门针对云服务提供商(CSPs)设计。该标准为云服务提供商提供了一套指导原则和控制措施，确保在处理个人数据时能够遵循隐私保护的更好实践，符合全球各地的隐私法律和法规要求。

2、认证适用范围：

      ISO27018认证适用于任何部门的大型或小型组织，该标准特别适用于在云端环境中存储个人资料（例如工资单，税单、客户付款明细等等）的保护。不一定非要从事互联网，其他行业也可以适用，目前申报企业的分类为：

●政务机构：国家机关、税务机构、海关等。

●公共机构：医院、大学、科研机构、低科研、社会保障、医疗服务教育、通信、广播电视、新闻出版等。

●商务机构：金融、电子机构、物流等。

●企业：电子商务、交通运输、信息与通信技术、治金、采矿、食品、药品、烟草、农、林、牧、副、渔业、电力、铁路、民航、化工、航空航天、水利等。

3、认证的主要内容：

ISO27018认证标准主要包括以下内容：

     数据处理的目的和方式：云服务提供商应该明确规定个人数据的处理目的和方式，并且只能根据用户的授权进行数据处理。

     个人数据的保留时间：云服务提供商应该明确规定个人数据的保留时间，并且在达到保留期限后，及时删除或者匿名化个人数据。

     个人数据的披露和共享：云服务提供商应该明确规定个人数据的披露和共享要求，并且在未经用户授权的情况下，不得披露或共享个人数据。

     个人数据的安全措施：云服务提供商应该采取一系列的技术和组织措施，保护个人数据的安全，防止数据泄露、篡改和丢失。

     用户的权利和选择：云服务提供商应该确保用户能够行使自己的权利，包括访问、更正、删除和限制处理个人数据的权利。

4、通过认证的价值：

（1）激发对企业的信任：为客户和利益相关者提供更大的保证，即个人根据和信息受到保护；

（2）竞争优势：通过大限度地保护个人信息，在竞争对手中脱颖而出；

（3）品牌保护：减少由于数据泄露而引起的不利宣传的风险；

（4）降低风险：确保识别风险，并采取控制措施来管理或降低风险；

（5）防止罚款：确保遵守当地法规，减少数据泄露的罚款风险；

（6）发展业务：提供不同国家/地区的通用准则，使在全球开展业务变得更容易，并可以作为供应商。

5、申请条件：

（1）企业需持有工商行政管理部门颁发的《企业法人营业执照》等有效资质文件；

（2）申请方应按照有效标准（ISO/IEC27018）的要求在组织内建立公有云中个人可识别信息保护体系，并实施运行至少3个月以上；

（3）至少完成一次内部审核，并进行了有效的管理评审；

（4）管理体系运行期间及申请前的一年内未受到主管部门xingzhengchufa。

6、需要提供的认证材料：

（1）、基本资料（营业执照、行政许可（如有）、临时场所清单等）；

（2）、有效的ISMS认证证书或ISMS认证申请；

（3）、支持公有云中个人可识别信息保护管理体系的规程和控制措施；

（4）、隐私影响评估报告（含隐私影响评估方法的描述）；

（5）、适用性声明；

（6）、适用的法律法规的标准的清单；

（7）、《管理体系认证申请书》中的具体事项。

7、认证流程：