公有云中个人可识别信息保护管理体系认证(ISO/IEC 27018)是信息安全管理体系在公有云中对隐私信息安全管理方面的应用和加强。以下是对该认证体系的详细解析:
一、认证概述
定义:
公有云中个人可识别信息管理体系是信息安全管理体系在公有云中对隐私信息安全管理方面的应用和加强。该体系在信息安全管理体系标准的基础上,根据云计算环境隐私信息的特点和面临的风险,针对性提出了安全控制和控制实施指南。
认证依据:
ISO/IEC 27018《信息技术 安全技术 个人可识别信息(PII)处理者在公有云中保护PII的实践指南》
GB/T22080/ISO/IEC27001《信息技术 安全技术 信息安全管理体系 要求》
二、认证目的与意义
目的:
帮助云服务提供者完善云环境下的隐私信息管理,规避合规风险,提升服务安全和客户信任度。
意义:
增强信任:为客户和利益相关者提供更大的保证,即个人数据和信息受到保护。
竞争优势:通过最大限度地保护个人信息,在竞争对手中脱颖而出。
保护品牌:减少由于数据泄露而引起的不利宣传的风险。
降低风险:确保识别风险,并采取控制措施来管理或降低风险。
防止罚款:确保遵守当地法规,减少数据泄露的罚款风险。
发展业务:提供不同国家/地区的通用准则,使在全球开展业务变得更容易,并可以作为首选供应商。
三、适用范围
ISO27018公有云中个人可识别信息保护管理体系认证适用于各个行业类别,涉及信息领域服务的任何大型或小型组织都可以申请认证,包括但不限于:
政府单位:国家机关、税务机构、海关等。
公共机构:医院、大学、科研机构等。
企业:信息技术、通信、金融、电子商务、物流等。
四、认证流程
建立体系框架:按照ISO 27018管理体系标准要求建立体系框架。
体系运行:体系建立后,需要运行一段时间(最少三个月),产生三个月的运行记录。
递交审核申请:向认证机构递交审核申请。
评估与审核:认证机构评估费用和正式审核时间,进行预审和第二阶段审核(实施审核,查看程序规定的执行情况)。
发放证书:如果能顺利完成审核,在确定清楚认证范围后,发放ISO 27018管理体系认证证书。证书的有效期为三年,每年进行一次监督审核。
五、认证所需资料
1,基本资料:营业执照、行政许可(如有)、临时场所清单等。
2,ISO27001认证证书:有效的ISO27001认证证书或ISO27001认证申请。
3,规程和控制措施:支持公有云中个人可识别信息保护管理体系的规程和控制措施。
4,隐私影响评估报告:含隐私影响评估方法的描述。
5,适用性声明。
6,法律法规清单:适用的法律法规及标准清单。
7,体系文件。
六、注意事项
申请的ISO27018认证范围不能大于组织的ISO27001覆盖范围,超出的认证范围必须先安排对其ISO27001实施专项扩大审核后,再安排ISO27018的审核。
若企业的ISO27001认证证书暂停或撤销时,ISO27018认证证书会同时进行暂停或撤销。