1、ISO27018個人隱私信息安全管理體系的相關介紹
ISO/IEC 27018又稱“云隱保護認證”,是由英國標準協會(BSI)制定,主要針對云服務商對云中個人數據的安全防護的國際標準認證,旨在為云個人身份信息處理者提供一套實務守則,以保護公共云中的個人身份信息(PII)不受侵犯,是目前國際上最權威、最嚴格、也是最被廣泛接受和應用的信息安全體系認證。ISO/IEC 27018 是一個專注于保護公共云中個人可識別信息(Personal Identifiable Information, PII)的國際標準。它是基于ISO/IEC 27002信息安全控制框架的一個擴展,專門針對云服務提供商(CSPs)設計。該標準為云服務提供商提供了一套指導原則和控制措施,確保在處理個人數據時能夠遵循隱私保護的更好實踐,符合全球各地的隱私法律和法規要求
2、獲取認證應具備的條件
(a)企業需持有工商行政管理部門頒發的《企業法人營業執照》等有效資質文件;
(b)申請方應按照有效標準(ISO/IEC 27018)的要求在組織內建立公有云中個人可識別信息保護體系,并實施運行至少3個月以上;
(c)至少完成一次內部審核,并進行了有效的管理評審;
(d)管理體系運行期間及申請前的一年內未受到主管部門行政處罰
(e)需要有ISO27001信息安全管理體系認證證書,且在有效的狀態或者或ISO27001認證申請
(f)基本資料(營業執照、行政許可(如有)、臨時場所清單等);支持公有云中個人可識別信息保護管理體系的規程和控制措施;隱私影響評估報告(含隱私影響評估方法的描述);適用性聲明;適用的法律法規的標準的清單;管理體系認證申請書》中的具體事項
3、適用于以下行業及組織:
ISO27018認證適用于任何部門的大型或小型組織,該標準特別適用于在云端環境中存儲個人資料(例如工資單,稅單、客戶付款明細等等)的保護。不一定非要從事互聯網,其他行業也可以適用,目前申報企業的分類為:
政務機構:國家機關、稅務機構、海關等。
公共機構:醫院、大學、科研機構、低科研、社會保障、醫療服務 教育、通信、廣播電視、新聞出版等。
商務機構:金融、電子機構、物流等。
企業:電子商務、交通運輸、信息與通信技術、治金、采礦、食品、藥品、煙草、農、林、牧、副、漁業、電力、鐵路、民航、化工、航空航天、水利等。
4、取得認證的程序
通常把取得認證的程序分為兩個階段,
認證咨詢階段:合同簽訂后,我公司會派出咨詢老師到企業進行調研,確定企業的認證意圖,幫助企業確定組織機構和職責權限劃分,體系的覆蓋范圍,編制和完善認證所需要的體系文件,對企業人員相關進行的培訓,并指導企業按體系文件的要求運行,并幫企業進行認證的申請。
認證審核階段:由認證機構派出的審核員,到企業按照認證標準及企業體系文件規定對企業申請認證范圍的活動的進行檢查,重點是核實企業的情況及編制認證文件和記錄,檢查結束上報認證機構頒發證書。
5、實施ISO27018的好處
(a)激發對企業的信任:為客戶和利益相關者提供更大的保證,即個人根據和信息受到保護;
(b)競爭優勢:通過最大限度地保護個人信息,在競爭對手中脫穎而出;
(c)品牌保護:減少由于數據泄露而引起的不利宣傳的風險;
(d)降低風險:確保識別風險,并采取控制措施來管理或降低風險;
(e)防止罰款:確保遵守當地法規,減少數據泄露的罰款風險;
(f)發展業務:提供不同國家/地區的通用準則,使在全球開展業務變得更容易,并可以作為首選供應商。
|
||||
