ISO27018公有云隐私安全

ISO27018公有云隐私安全

ISO27018 公有云中保护PII的信息安全管理体系
  • 专业服务保障
  • 一对一全程指导
  • 高效快捷体验

ISO/IEC 27018是对ISO/IEC 27001和ISO/IEC 27002标准的扩展,为云服务供应商如何处理个人身份信息(PII)提供了指南。可用于支持其基础设施通过标准认证的云服务提供商告知其现有和潜在客户,其数据得到了安全的保护,不会被用于任何其未明确同意的用途。通过实施本标准,可以让客户和利益相关者对其个人数据和信息的安全性更加放心。本标准还提供了覆盖不同国家的通用指导方针,为在全球范围内开展业务和获得作为首选供应商的机会提供便利性。

在线咨询

产品介绍



01
ISO 27018认证是什么


ISO27018又称“云隐保护认证“,是由英国标准协会 (BSI)制定,主要针对云服务商对云中个人数据的安全防护的国际标准认证。旨在为云个人身份信息处理者提供一套实务守则,以保护公共云中的个人身份信息( PII)不受侵犯,是目前国际上最权威、最严格、也是最被广泛接受和应用的信息安全体系认证。ISO27018管理体系(以下简称:CPIISMS)是基于ISO27001信息安全管理体系(以下简称:ISMS)扩展的管理体系。
02
ISO 27018认证的适用范围


ISO27018认证适用于任何部门的大型或小型组织,该标准特别适用于在云端环境中存储个人资料(例如工资单,税单、客户付款明细等等)的保护。目前申报企业的分类为:

  • 政府单位:国家机关、税务机构、海关等;

  • 公共机构:医院、大学、科研机构等;

  • 企业:信息技术、通信、金融、电子商务、物流等。

03
ISO 27018认证的主要内容


ISO27018认证标准主要包括以下内容:




数据处理的目的和方式

云服务提供商应该明确规定个人数据的处理目的和方式,并且只能根据用户的授权进行数据处理。



个人数据的保留时间

云服务提供商应该明确规定个人数据的保留时间,并且在达到保留期限后,及时删除或者匿名化个人数据。



个人数据的披露和共享

云服务提供商应该明确规定个人数据的披露和共享要求,并且在未经用户授权的情况下,不得披露或共享个人数据。



个人数据的安全措施

云服务提供商应该采取一系列的技术和组织措施,保护个人数据的安全,防止数据泄露、篡改和丢失。



用户的权利和选择

云服务提供商应该确保用户能够行使自己的权利,包括访问、更正、删除和限制处理个人数据的权利。

04
ISO 27018与ISO 27001的关系


ISO27018标准与ISO27001标准配合使用,可用于支持其基础设施通过标准认证的云服务提供商告知其现有的和潜在客户,其数据得到了安全的保护,不会被用于任何其未明确同意的用途。

ISO27018对ISO27001扩展的体现有两个方面:

1、在原有的ISMS标准的附录A中114个控制条款延展了15%的要求,主要对在公有云中PII的处理者保护PII 提出了额外的控制要求,并将控制要求更具体化;

2、根据ISO29100的11个隐私原则增加了11个ISO27018特定的PII保护附加控制条款。

扩展主要体现在以下几点:

ISO27018图

05
ISO 27018认证所需材料


1、组织法律证明资料(营业执照、行政许可、临时场所清单等);

2、有效的ISMS认证证书或ISMS认证申请;

3、支持公有云中个人可识别信息保护管理体系的体系文件(包括管理手册、程序文件、策略和作业文件、运行记录,适用性声明);

4、隐私影响评估报告(含隐私影响评估方法的描述);

5、申请组织内部审核和管理评审的证明资料;

6、适用的法律法规的标准的清单;

7、标准要求的其他文件。


06
通过ISO 27018认证的收益


1、提高组织的可信度

获得ISO27018认证意味着组织在数据安全管理方面已达到了国际领先水平,即有能力为客户和利益相关者提供更充分的数据安全保证;

2、竞争优势

通过最大限度地保护个人信息,在竞争对手中脱颖而出;

3、品牌保护

减少由于数据泄露而导致的品牌危机;

4、降低风险

提高识别风险能力,并采取控制措施来管理或降低风险;

5、防范法律风险

确保遵守当地法规,减少数据泄露的罚款风险;

6、发展业务

提供不同国家/地区的通用准则,使在全球开展业务变得更容易。

07
擎标提供的服务


1、合同签订后,擎标会派出咨询老师到企业进行调研,确定企业的认证目标;

2、帮助企业确定组织机构和职责权限划分、体系的覆盖范围;

3、编制和完善认证所需要的体系文件;

4、对企业人员相关进行的培训,并指导企业按体系文件的要求运行;

5、配合认证机构完成审核。

08
证书样本及有效期


ISO27018证书版本


办理流程

ISO27701shishiliuchengPIMS-e654d

所需材料

1.公司简介

2.公司营业执照

3.其他相关资质(如ISO管理体系认证、软件著作权、专利、商标许可等)

4.公司的组织架构图(部门架构和目前公司的主要人员姓名、归属部门、岗位)

5.公司现有的业务流程

6.公司现有的IT方面的管理制度

常见问题

  • ISO/IEC 27018标准的优势有哪些?
    a)驱使他人对您企业的信任感——让您的客户和利益相关者对其个人数据和信息的安全性更加放心。 b) 提供竞争优势——借由为个人信息提供最高程度的保护,让您从竞争对手之中脱颖而出。 c) 保护品牌声誉——降低因数据泄露引发的负面宣传风险。 d) 降低风险——确保风险被识别,且控制措施到位以管理或降低风险。 e)防止罚款——确保遵守当地法规,降低对数据泄露的罚款风险。 f)助力企业发展——提供覆盖不同国家的通用指导方针,为在全球范围内开展业务和获得作为首选供应商的机会提供便利性。

扩展支持服务

全生命周期保障服务 1. 建立基于项目制的PMO工作组,由客户经理和项目经理联合负责跟进项目进度、交付物、满意度等质量活动。
2. 项目生命周期过程中的任何不满,均可以通过公司400电话和在线方式进行投诉反馈。
3. 周期性的回访,以确保项目交付验收后的任何变更、年审、升级或续证等提醒事项。
服务指标 全天候擎标在线,7×12小时的400电话和线上支持,提供现场/远程服务。我们承诺服务响应速度不超过60分钟。我们注重服务效率,在目标时间内保质保量的交付每一次服务。
工具支持 可提供ITSM运维工具、终端保密管理工具、风险评估工具、漏洞扫描工具、BUG管理工具、评估用PIID表、软件建模工具、项目管理工具、知识库管理工具等系列解决方案。
知识中心 1. 通过咨询顾问和培训老师,可获取各类业务相关的标准库、知识库、文档库。
2. 标新领异,我们可提供部分国际最新标准的中文译本和业内的政策动态资讯。
培训增值 1. 擎标每年不定期的举办培训公开课,签约客户均可享受优惠折扣和部分免费名额。
2. 部分基于线上的培训方式,受邀客户可以免费不计人数的参与研讨学习。