1�、ISO27018個人隱私信息安全管理體系的相關(guān)介紹
ISO/IEC
27018又稱“云隱保護(hù)認(rèn)證”,是由英國標(biāo)準(zhǔn)協(xié)會(BSI)制定����,主要針對云服務(wù)商對云中個人數(shù)據(jù)的安全防護(hù)的國際標(biāo)準(zhǔn)認(rèn)證���,旨在為云個人身份信息處理者提供一套實務(wù)守則����,以保護(hù)公共云中的個人身份信息(PII)不受侵犯���,是目前國際上最權(quán)威����、最嚴(yán)格�����、也是最被廣泛接受和應(yīng)用的信息安全體系認(rèn)證��。ISO/IEC
27018 是一個專注于保護(hù)公共云中個人可識別信息(Personal Identifiable Information,
PII)的國際標(biāo)準(zhǔn)�。它是基于ISO/IEC
27002信息安全控制框架的一個擴(kuò)展�,專門針對云服務(wù)提供商(CSPs)設(shè)計。該標(biāo)準(zhǔn)為云服務(wù)提供商提供了一套指導(dǎo)原則和控制措施,確保在處理個人數(shù)據(jù)時能夠遵循隱私保護(hù)的更好實踐����,符合全球各地的隱私法律和法規(guī)要求
2、獲取認(rèn)證應(yīng)具備的條件
(a)企業(yè)需持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》等有效資質(zhì)文件;
(b)申請方應(yīng)按照有效標(biāo)準(zhǔn)(ISO/IEC 27018)的要求在組織內(nèi)建立公有云中個人可識別信息保護(hù)體系����,并實施運(yùn)行至少3個月以上;
(c)至少完成一次內(nèi)部審核,并進(jìn)行了有效的管理評審;
(d)管理體系運(yùn)行期間及申請前的一年內(nèi)未受到主管部門行政處罰
(e)需要有ISO27001信息安全管理體系認(rèn)證證書����,且在有效的狀態(tài)或者或ISO27001認(rèn)證申請
(f)基本資料(營業(yè)執(zhí)照、行政許可(如有)����、臨時場所清單等);支持公有云中個人可識別信息保護(hù)管理體系的規(guī)程和控制措施;隱私影響評估報告(含隱私影響評估方法的描述);適用性聲明;適用的法律法規(guī)的標(biāo)準(zhǔn)的清單;管理體系認(rèn)證申請書》中的具體事項
3、適用于以下行業(yè)及組織:
ISO27018認(rèn)證適用于任何部門的大型或小型組織��,該標(biāo)準(zhǔn)特別適用于在云端環(huán)境中存儲個人資料(例如工資單���,稅單���、客戶付款明細(xì)等等)的保護(hù)。不一定非要從事互聯(lián)網(wǎng)����,其他行業(yè)也可以適用����,目前申報企業(yè)的分類為:
政務(wù)機(jī)構(gòu):國家機(jī)關(guān)��、稅務(wù)機(jī)構(gòu)�、海關(guān)等。
公共機(jī)構(gòu):醫(yī)院���、大學(xué)��、科研機(jī)構(gòu)�、低科研�、社會保障、醫(yī)療服務(wù) 教育�、通信、廣播電視�、新聞出版等。
商務(wù)機(jī)構(gòu):金融��、電子機(jī)構(gòu)�、物流等���。
企業(yè):電子商務(wù)�、交通運(yùn)輸、信息與通信技術(shù)�����、治金�����、采礦����、食品、藥品�、煙草、農(nóng)�����、林�、牧、副���、漁業(yè)���、電力��、鐵路����、民航�、化工、航空航天�、水利等。
4�、取得認(rèn)證的程序
通常把取得認(rèn)證的程序分為兩個階段,
認(rèn)證咨詢階段:合同簽訂后����,我公司會派出咨詢老師到企業(yè)進(jìn)行調(diào)研,確定企業(yè)的認(rèn)證意圖�����,幫助企業(yè)確定組織機(jī)構(gòu)和職責(zé)權(quán)限劃分��,體系的覆蓋范圍�,編制和完善認(rèn)證所需要的體系文件,對企業(yè)人員相關(guān)進(jìn)行的培訓(xùn)����,并指導(dǎo)企業(yè)按體系文件的要求運(yùn)行,并幫企業(yè)進(jìn)行認(rèn)證的申請�����。
認(rèn)證審核階段:由認(rèn)證機(jī)構(gòu)派出的審核員�,到企業(yè)按照認(rèn)證標(biāo)準(zhǔn)及企業(yè)體系文件規(guī)定對企業(yè)申請認(rèn)證范圍的活動的進(jìn)行檢查,重點(diǎn)是核實企業(yè)的情況及編制認(rèn)證文件和記錄����,檢查結(jié)束上報認(rèn)證機(jī)構(gòu)頒發(fā)證書。
5����、實施ISO27018的好處
(a)激發(fā)對企業(yè)的信任:為客戶和利益相關(guān)者提供更大的保證,即個人根據(jù)和信息受到保護(hù);
(b)競爭優(yōu)勢:通過最大限度地保護(hù)個人信息����,在競爭對手中脫穎而出;
(c)品牌保護(hù):減少由于數(shù)據(jù)泄露而引起的不利宣傳的風(fēng)險;
(d)降低風(fēng)險:確保識別風(fēng)險,并采取控制措施來管理或降低風(fēng)險;
(e)防止罰款:確保遵守當(dāng)?shù)胤ㄒ?guī)���,減少數(shù)據(jù)泄露的罰款風(fēng)險;
(f)發(fā)展業(yè)務(wù):提供不同國家/地區(qū)的通用準(zhǔn)則�����,使在全球開展業(yè)務(wù)變得更容易��,并可以作為首選供應(yīng)商����。
