ISO/IEC 27018是对ISO/IEC 27001和ISO/IEC 27002标准的扩展,为云服务供应商如何处理个人身份信息(PII)提供了指南。可用于支持其基础设施通过标准认证的云服务提供商告知其现有和潜在客户,其数据得到了安全的保护,不会被用于任何其未明确同意的用途。通过实施本标准,可以让客户和利益相关者对其个人数据和信息的安全性更加放心。本标准还提供了覆盖不同国家的通用指导方针,为在全球范围内开展业务和获得作为首选供应商的机会提供便利性。
ISO27018认证适用于任何部门的大型或小型组织,该标准特别适用于在云端环境中存储个人资料(例如工资单,税单、客户付款明细等等)的保护。目前申报企业的分类为:
政府单位:国家机关、税务机构、海关等;
公共机构:医院、大学、科研机构等;
企业:信息技术、通信、金融、电子商务、物流等。
ISO27018认证标准主要包括以下内容:
云服务提供商应该明确规定个人数据的处理目的和方式,并且只能根据用户的授权进行数据处理。
云服务提供商应该明确规定个人数据的保留时间,并且在达到保留期限后,及时删除或者匿名化个人数据。
云服务提供商应该明确规定个人数据的披露和共享要求,并且在未经用户授权的情况下,不得披露或共享个人数据。
云服务提供商应该采取一系列的技术和组织措施,保护个人数据的安全,防止数据泄露、篡改和丢失。
云服务提供商应该确保用户能够行使自己的权利,包括访问、更正、删除和限制处理个人数据的权利。
ISO27018标准与ISO27001标准配合使用,可用于支持其基础设施通过标准认证的云服务提供商告知其现有的和潜在客户,其数据得到了安全的保护,不会被用于任何其未明确同意的用途。
ISO27018对ISO27001扩展的体现有两个方面:
1、在原有的ISMS标准的附录A中114个控制条款延展了15%的要求,主要对在公有云中PII的处理者保护PII 提出了额外的控制要求,并将控制要求更具体化;
2、根据ISO29100的11个隐私原则增加了11个ISO27018特定的PII保护附加控制条款。
扩展主要体现在以下几点:
1、组织法律证明资料(营业执照、行政许可、临时场所清单等);
2、有效的ISMS认证证书或ISMS认证申请;
3、支持公有云中个人可识别信息保护管理体系的体系文件(包括管理手册、程序文件、策略和作业文件、运行记录,适用性声明);
4、隐私影响评估报告(含隐私影响评估方法的描述);
5、申请组织内部审核和管理评审的证明资料;
6、适用的法律法规的标准的清单;
7、标准要求的其他文件。
1、提高组织的可信度
获得ISO27018认证意味着组织在数据安全管理方面已达到了国际领先水平,即有能力为客户和利益相关者提供更充分的数据安全保证;
2、竞争优势
通过最大限度地保护个人信息,在竞争对手中脱颖而出;
3、品牌保护
减少由于数据泄露而导致的品牌危机;
4、降低风险
提高识别风险能力,并采取控制措施来管理或降低风险;
5、防范法律风险
确保遵守当地法规,减少数据泄露的罚款风险;
6、发展业务
提供不同国家/地区的通用准则,使在全球开展业务变得更容易。
1、合同签订后,擎标会派出咨询老师到企业进行调研,确定企业的认证目标;
2、帮助企业确定组织机构和职责权限划分、体系的覆盖范围;
3、编制和完善认证所需要的体系文件;
4、对企业人员相关进行的培训,并指导企业按体系文件的要求运行;
5、配合认证机构完成审核。
1.公司简介
2.公司营业执照
3.其他相关资质(如ISO管理体系认证、软件著作权、专利、商标许可等)
4.公司的组织架构图(部门架构和目前公司的主要人员姓名、归属部门、岗位)
5.公司现有的业务流程
6.公司现有的IT方面的管理制度
扫码微信咨询