1、ISO27018個(gè)人隱私信息安全管理體系的相關(guān)介紹
ISO/IEC
27018又稱“云隱保護(hù)認(rèn)證”�,是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)制定����,主要針對(duì)云服務(wù)商對(duì)云中個(gè)人數(shù)據(jù)的安全防護(hù)的國(guó)際標(biāo)準(zhǔn)認(rèn)證,旨在為云個(gè)人身份信息處理者提供一套實(shí)務(wù)守則�,以保護(hù)公共云中的個(gè)人身份信息(PII)不受侵犯,是目前國(guó)際上最權(quán)威����、最嚴(yán)格、也是最被廣泛接受和應(yīng)用的信息安全體系認(rèn)證���。ISO/IEC
27018 是一個(gè)專注于保護(hù)公共云中個(gè)人可識(shí)別信息(Personal Identifiable Information,
PII)的國(guó)際標(biāo)準(zhǔn)�����。它是基于ISO/IEC
27002信息安全控制框架的一個(gè)擴(kuò)展���,專門針對(duì)云服務(wù)提供商(CSPs)設(shè)計(jì)。該標(biāo)準(zhǔn)為云服務(wù)提供商提供了一套指導(dǎo)原則和控制措施����,確保在處理個(gè)人數(shù)據(jù)時(shí)能夠遵循隱私保護(hù)的更好實(shí)踐���,符合全球各地的隱私法律和法規(guī)要求
2、獲取認(rèn)證應(yīng)具備的條件
(a)企業(yè)需持有工商行政管理部門頒發(fā)的《企業(yè)法人營(yíng)業(yè)執(zhí)照》等有效資質(zhì)文件;
(b)申請(qǐng)方應(yīng)按照有效標(biāo)準(zhǔn)(ISO/IEC 27018)的要求在組織內(nèi)建立公有云中個(gè)人可識(shí)別信息保護(hù)體系��,并實(shí)施運(yùn)行至少3個(gè)月以上;
(c)至少完成一次內(nèi)部審核�,并進(jìn)行了有效的管理評(píng)審;
(d)管理體系運(yùn)行期間及申請(qǐng)前的一年內(nèi)未受到主管部門行政處罰
(e)需要有ISO27001信息安全管理體系認(rèn)證證書,且在有效的狀態(tài)或者或ISO27001認(rèn)證申請(qǐng)
(f)基本資料(營(yíng)業(yè)執(zhí)照�、行政許可(如有)、臨時(shí)場(chǎng)所清單等);支持公有云中個(gè)人可識(shí)別信息保護(hù)管理體系的規(guī)程和控制措施;隱私影響評(píng)估報(bào)告(含隱私影響評(píng)估方法的描述);適用性聲明;適用的法律法規(guī)的標(biāo)準(zhǔn)的清單;管理體系認(rèn)證申請(qǐng)書》中的具體事項(xiàng)
3��、適用于以下行業(yè)及組織:
ISO27018認(rèn)證適用于任何部門的大型或小型組織���,該標(biāo)準(zhǔn)特別適用于在云端環(huán)境中存儲(chǔ)個(gè)人資料(例如工資單�����,稅單、客戶付款明細(xì)等等)的保護(hù)�����。不一定非要從事互聯(lián)網(wǎng)�,其他行業(yè)也可以適用,目前申報(bào)企業(yè)的分類為:
政務(wù)機(jī)構(gòu):國(guó)家機(jī)關(guān)�����、稅務(wù)機(jī)構(gòu)、海關(guān)等����。
公共機(jī)構(gòu):醫(yī)院、大學(xué)��、科研機(jī)構(gòu)�、低科研、社會(huì)保障��、醫(yī)療服務(wù) 教育����、通信、廣播電視����、新聞出版等。
商務(wù)機(jī)構(gòu):金融����、電子機(jī)構(gòu)、物流等�����。
企業(yè):電子商務(wù)、交通運(yùn)輸�、信息與通信技術(shù)、治金�、采礦、食品��、藥品����、煙草、農(nóng)��、林����、牧、副�����、漁業(yè)����、電力、鐵路���、民航��、化工����、航空航天�、水利等。
4�、取得認(rèn)證的程序
通常把取得認(rèn)證的程序分為兩個(gè)階段,
認(rèn)證咨詢階段:合同簽訂后��,我公司會(huì)派出咨詢老師到企業(yè)進(jìn)行調(diào)研����,確定企業(yè)的認(rèn)證意圖,幫助企業(yè)確定組織機(jī)構(gòu)和職責(zé)權(quán)限劃分����,體系的覆蓋范圍,編制和完善認(rèn)證所需要的體系文件����,對(duì)企業(yè)人員相關(guān)進(jìn)行的培訓(xùn)��,并指導(dǎo)企業(yè)按體系文件的要求運(yùn)行�����,并幫企業(yè)進(jìn)行認(rèn)證的申請(qǐng)��。
認(rèn)證審核階段:由認(rèn)證機(jī)構(gòu)派出的審核員�����,到企業(yè)按照認(rèn)證標(biāo)準(zhǔn)及企業(yè)體系文件規(guī)定對(duì)企業(yè)申請(qǐng)認(rèn)證范圍的活動(dòng)的進(jìn)行檢查���,重點(diǎn)是核實(shí)企業(yè)的情況及編制認(rèn)證文件和記錄,檢查結(jié)束上報(bào)認(rèn)證機(jī)構(gòu)頒發(fā)證書�。
5、實(shí)施ISO27018的好處
(a)激發(fā)對(duì)企業(yè)的信任:為客戶和利益相關(guān)者提供更大的保證��,即個(gè)人根據(jù)和信息受到保護(hù);
(b)競(jìng)爭(zhēng)優(yōu)勢(shì):通過(guò)最大限度地保護(hù)個(gè)人信息�,在競(jìng)爭(zhēng)對(duì)手中脫穎而出;
(c)品牌保護(hù):減少由于數(shù)據(jù)泄露而引起的不利宣傳的風(fēng)險(xiǎn);
(d)降低風(fēng)險(xiǎn):確保識(shí)別風(fēng)險(xiǎn),并采取控制措施來(lái)管理或降低風(fēng)險(xiǎn);
(e)防止罰款:確保遵守當(dāng)?shù)胤ㄒ?guī)��,減少數(shù)據(jù)泄露的罰款風(fēng)險(xiǎn);
(f)發(fā)展業(yè)務(wù):提供不同國(guó)家/地區(qū)的通用準(zhǔn)則����,使在全球開(kāi)展業(yè)務(wù)變得更容易,并可以作為首選供應(yīng)商�����。
