人数:26-45
人数:46-65
数量:100
ISO/IEC 27018是对ISO 27001和ISO 27002标准的扩展,为云服务供应商如何安全处理个人身份信息(PII)提供了指南。此标准的主要作用是为云服务商告知其现有及潜在客户——“您所提交的个人数据得到了安全保护及处理,不会被用于任何其未明确同意的用途”提供了有力证明。通过实施本标准,可以让使用云服务的客户和利益相关者,对其个人数据和信息的安全更加放心。
实施ISO27018标准的意义
对于云提供商,确保消费者信息的安全性是第一要务。鉴于最近发生的破坏用户数据的违规行为,通过国际标准获得认证可以为组织提供全球公认的安全控制。它还向云提供商的客户展示了他们在保护消费者数据方面的重要性。这为能够宣称自己有能力确保客户信息安全的公司提供了独特的营销优势。
虽然某些组织寻求认证以符合其独特的法规需求或客户的需求,但其他组织应考虑ISO 27017或ISO 27018,以最大程度地减少云服务组织固有的风险和潜在的破坏成本。遵循严格的ISO 27017和27018准则,您的组织可以放心地运作,并在客户中建立信任的声誉。
1、 增强信任——为客户和利益相关者提供更大的保证,即个人数据和信息受到保护。
2、 竞争优势——通过最大限度地保护个人信息,在竞争对手中脱颖而出
3、 保护品牌——减少由于数据泄露而引起的不利宣传的风险
4、降低风险——确保识别风险,并采取控制措施来管理或降低风险
5、防止罚款——确保遵守当地法规,减少数据泄露的罚款风险
6、发展业务——提供不同国家/地区的通用准则,使在全球开展业务变得更容易,并可以作为首选供应商
ISO27018认证的适用范围
ISO27018认证适用于各个行业类别,只要从事信息领域服务的任何大型或小型组织都可以申请认证。不一定非要从事互联网,其他行业也可以适用。下表就是关于ISO27018认证的分类:
大类
中类
类别说明
1、政务
1.1
其他
1.2
国家机构/税务机关/海关
2、公共
2.1
低科研/社会保障/医疗服务/教育/其他
2.2
通信、广播电视/新闻出版
3、商务
3.1
咨询中介/旅游、宾馆、饭店/其他
3.2
金融/电子商务/物流
4、产品的生产
4.1
交通运输/信息与通信技术/冶金/采矿/食品、药品、烟草/农、林、牧、副、渔业/其他
4.2
电力/铁路/民航/化工/航空航天/水利
由上表看出,ISO27018认证适用于大多数行业。
ISO27018认证的申报条件
1、ISO27018认证是在ISO27001信息安全管理体系的基础上建立、实施和扩展的,ISO27001是ISO27018认证的基础和前提条件。申请ISO27018认证的组织应已经建立信息安全管理体系,且通过了ISO27001认证或准备同时申请ISO27001认证。
2、申请的ISO27018认证范围不能大于组织的ISO27001覆盖范围,超出的认证范围必须先安排对其ISO27001实施专项扩大审核后,再安排ISO27018的审核。
申请ISO27018认证需提供的资料
申请认证提供的资料如下:
1、基本资料(营业执照、行政许可(如有)、临时场所清单等);
2、有效的ISO27001 认证证书;
3、支持公有云中个人可识别信息保护管理体系的规程和控制措施;
4、隐私影响评估报告(含隐私影响评估方法的描述);
5、适用性声明;
6、适用的法律法规的标准的清单;
7、《管理体系认证申请书》中的具体事项;
申请ISO27018认证的其他注意事项:
1、ISO27018证书的有效期为三年,每年进行一次监督审核;
2、若企业的ISO27001认证证书暂停或撤销时,ISO27018认证证书会同时进行暂停或撤销。