1、ISO27018個人隱私信息安全管理體系的相關介紹
ISO/IEC
27018又稱“云隱保護認證”��,是由英國標準協(xié)會(BSI)制定�,主要針對云服務商對云中個人數據的安全防護的國際標準認證�,旨在為云個人身份信息處理者提供一套實務守則�,以保護公共云中的個人身份信息(PII)不受侵犯,是目前國際上最權威�����、最嚴格�、也是最被廣泛接受和應用的信息安全體系認證。ISO/IEC
27018 是一個專注于保護公共云中個人可識別信息(Personal Identifiable Information,
PII)的國際標準��。它是基于ISO/IEC
27002信息安全控制框架的一個擴展�,專門針對云服務提供商(CSPs)設計。該標準為云服務提供商提供了一套指導原則和控制措施�����,確保在處理個人數據時能夠遵循隱私保護的更好實踐����,符合全球各地的隱私法律和法規(guī)要求
2、獲取認證應具備的條件
(a)企業(yè)需持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》等有效資質文件;
(b)申請方應按照有效標準(ISO/IEC 27018)的要求在組織內建立公有云中個人可識別信息保護體系,并實施運行至少3個月以上;
(c)至少完成一次內部審核���,并進行了有效的管理評審;
(d)管理體系運行期間及申請前的一年內未受到主管部門行政處罰
(e)需要有ISO27001信息安全管理體系認證證書�,且在有效的狀態(tài)或者或ISO27001認證申請
(f)基本資料(營業(yè)執(zhí)照�、行政許可(如有)、臨時場所清單等);支持公有云中個人可識別信息保護管理體系的規(guī)程和控制措施;隱私影響評估報告(含隱私影響評估方法的描述);適用性聲明;適用的法律法規(guī)的標準的清單;管理體系認證申請書》中的具體事項
3����、適用于以下行業(yè)及組織:
ISO27018認證適用于任何部門的大型或小型組織,該標準特別適用于在云端環(huán)境中存儲個人資料(例如工資單��,稅單���、客戶付款明細等等)的保護���。不一定非要從事互聯(lián)網,其他行業(yè)也可以適用����,目前申報企業(yè)的分類為:
政務機構:國家機關、稅務機構�����、海關等。
公共機構:醫(yī)院���、大學�、科研機構�����、低科研����、社會保障�����、醫(yī)療服務 教育��、通信���、廣播電視��、新聞出版等��。
商務機構:金融���、電子機構�、物流等����。
企業(yè):電子商務、交通運輸�����、信息與通信技術�����、治金�����、采礦����、食品、藥品���、煙草�����、農��、林�����、牧�、副、漁業(yè)�����、電力�����、鐵路�、民航�����、化工��、航空航天、水利等�。
4、取得認證的程序
通常把取得認證的程序分為兩個階段���,
認證咨詢階段:合同簽訂后��,我公司會派出咨詢老師到企業(yè)進行調研���,確定企業(yè)的認證意圖,幫助企業(yè)確定組織機構和職責權限劃分���,體系的覆蓋范圍����,編制和完善認證所需要的體系文件�,對企業(yè)人員相關進行的培訓,并指導企業(yè)按體系文件的要求運行���,并幫企業(yè)進行認證的申請����。
認證審核階段:由認證機構派出的審核員���,到企業(yè)按照認證標準及企業(yè)體系文件規(guī)定對企業(yè)申請認證范圍的活動的進行檢查�,重點是核實企業(yè)的情況及編制認證文件和記錄,檢查結束上報認證機構頒發(fā)證書�����。
5�、實施ISO27018的好處
(a)激發(fā)對企業(yè)的信任:為客戶和利益相關者提供更大的保證,即個人根據和信息受到保護;
(b)競爭優(yōu)勢:通過最大限度地保護個人信息���,在競爭對手中脫穎而出;
(c)品牌保護:減少由于數據泄露而引起的不利宣傳的風險;
(d)降低風險:確保識別風險���,并采取控制措施來管理或降低風險;
(e)防止罰款:確保遵守當地法規(guī),減少數據泄露的罰款風險;
(f)發(fā)展業(yè)務:提供不同國家/地區(qū)的通用準則����,使在全球開展業(yè)務變得更容易,并可以作為首選供應商�。
