- 咨詢電話:010-58464223
- 24小時(shí)服務(wù)熱線:13020001001
1、ISO27018個(gè)人隱私信息安全管理體系的相關(guān)介紹
ISO/IEC 27018又稱“云隱保護(hù)認(rèn)證”,是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)制定,主要針對(duì)云服務(wù)商對(duì)云中個(gè)人數(shù)據(jù)的安全防護(hù)的國(guó)際標(biāo)準(zhǔn)認(rèn)證,旨在為云個(gè)人身份信息處理者提供一套實(shí)務(wù)守則,以保護(hù)公共云中的個(gè)人身份信息(PII)不受侵犯,是目前國(guó)際上最權(quán)威、最嚴(yán)格、也是最被廣泛接受和應(yīng)用的信息安全體系認(rèn)證。ISO/IEC 27018 是一個(gè)專注于保護(hù)公共云中個(gè)人可識(shí)別信息(Personal Identifiable Information, PII)的國(guó)際標(biāo)準(zhǔn)。它是基于ISO/IEC 27002信息安全控制框架的一個(gè)擴(kuò)展,專門針對(duì)云服務(wù)提供商(CSPs)設(shè)計(jì)。該標(biāo)準(zhǔn)為云服務(wù)提供商提供了一套指導(dǎo)原則和控制措施,確保在處理個(gè)人數(shù)據(jù)時(shí)能夠遵循隱私保護(hù)的更好實(shí)踐,符合全球各地的隱私法律和法規(guī)要求
2、獲取認(rèn)證應(yīng)具備的條件
(a)企業(yè)需持有工商行政管理部門頒發(fā)的《企業(yè)法人營(yíng)業(yè)執(zhí)照》等有效資質(zhì)文件;
(b)申請(qǐng)方應(yīng)按照有效標(biāo)準(zhǔn)(ISO/IEC 27018)的要求在組織內(nèi)建立公有云中個(gè)人可識(shí)別信息保護(hù)體系,并實(shí)施運(yùn)行至少3個(gè)月以上;
(c)至少完成一次內(nèi)部審核,并進(jìn)行了有效的管理評(píng)審;
(d)管理體系運(yùn)行期間及申請(qǐng)前的一年內(nèi)未受到主管部門行政處罰
(e)需要有ISO27001信息安全管理體系認(rèn)證證書,且在有效的狀態(tài)或者或ISO27001認(rèn)證申請(qǐng)
(f)基本資料(營(yíng)業(yè)執(zhí)照、行政許可(如有)、臨時(shí)場(chǎng)所清單等);支持公有云中個(gè)人可識(shí)別信息保護(hù)管理體系的規(guī)程和控制措施;隱私影響評(píng)估報(bào)告(含隱私影響評(píng)估方法的描述);適用性聲明;適用的法律法規(guī)的標(biāo)準(zhǔn)的清單;管理體系認(rèn)證申請(qǐng)書》中的具體事項(xiàng)
3、適用于以下行業(yè)及組織:
ISO27018認(rèn)證適用于任何部門的大型或小型組織,該標(biāo)準(zhǔn)特別適用于在云端環(huán)境中存儲(chǔ)個(gè)人資料(例如工資單,稅單、客戶付款明細(xì)等等)的保護(hù)。不一定非要從事互聯(lián)網(wǎng),其他行業(yè)也可以適用,目前申報(bào)企業(yè)的分類為:
政務(wù)機(jī)構(gòu):國(guó)家機(jī)關(guān)、稅務(wù)機(jī)構(gòu)、海關(guān)等。
公共機(jī)構(gòu):醫(yī)院、大學(xué)、科研機(jī)構(gòu)、低科研、社會(huì)保障、醫(yī)療服務(wù) 教育、通信、廣播電視、新聞出版等。
商務(wù)機(jī)構(gòu):金融、電子機(jī)構(gòu)、物流等。
企業(yè):電子商務(wù)、交通運(yùn)輸、信息與通信技術(shù)、治金、采礦、食品、藥品、煙草、農(nóng)、林、牧、副、漁業(yè)、電力、鐵路、民航、化工、航空航天、水利等。
4、取得認(rèn)證的程序
通常把取得認(rèn)證的程序分為兩個(gè)階段,
認(rèn)證咨詢階段:合同簽訂后,我公司會(huì)派出咨詢老師到企業(yè)進(jìn)行調(diào)研,確定企業(yè)的認(rèn)證意圖,幫助企業(yè)確定組織機(jī)構(gòu)和職責(zé)權(quán)限劃分,體系的覆蓋范圍,編制和完善認(rèn)證所需要的體系文件,對(duì)企業(yè)人員相關(guān)進(jìn)行的培訓(xùn),并指導(dǎo)企業(yè)按體系文件的要求運(yùn)行,并幫企業(yè)進(jìn)行認(rèn)證的申請(qǐng)。
認(rèn)證審核階段:由認(rèn)證機(jī)構(gòu)派出的審核員,到企業(yè)按照認(rèn)證標(biāo)準(zhǔn)及企業(yè)體系文件規(guī)定對(duì)企業(yè)申請(qǐng)認(rèn)證范圍的活動(dòng)的進(jìn)行檢查,重點(diǎn)是核實(shí)企業(yè)的情況及編制認(rèn)證文件和記錄,檢查結(jié)束上報(bào)認(rèn)證機(jī)構(gòu)頒發(fā)證書。
5、實(shí)施ISO27018的好處
(a)激發(fā)對(duì)企業(yè)的信任:為客戶和利益相關(guān)者提供更大的保證,即個(gè)人根據(jù)和信息受到保護(hù);
(b)競(jìng)爭(zhēng)優(yōu)勢(shì):通過最大限度地保護(hù)個(gè)人信息,在競(jìng)爭(zhēng)對(duì)手中脫穎而出;
(c)品牌保護(hù):減少由于數(shù)據(jù)泄露而引起的不利宣傳的風(fēng)險(xiǎn);
(d)降低風(fēng)險(xiǎn):確保識(shí)別風(fēng)險(xiǎn),并采取控制措施來(lái)管理或降低風(fēng)險(xiǎn);
(e)防止罰款:確保遵守當(dāng)?shù)胤ㄒ?guī),減少數(shù)據(jù)泄露的罰款風(fēng)險(xiǎn);
(f)發(fā)展業(yè)務(wù):提供不同國(guó)家/地區(qū)的通用準(zhǔn)則,使在全球開展業(yè)務(wù)變得更容易,并可以作為首選供應(yīng)商。
|
||||
