1、ISO27018个人隐私信息安全管理体系的相关介绍

  ISO/IEC 27018又称“云隐保护认证”，是由英国标准协会(BSI)制定，主要针对云服务商对云中个人数据的安全防护的国际标准认证，旨在为云个人身份信息处理者提供一套实务守则，以保护公共云中的个人身份信息(PII)不受侵犯，是目前国际上最权威、最严格、也是最被广泛接受和应用的信息安全体系认证。ISO/IEC 27018 是一个专注于保护公共云中个人可识别信息(Personal Identifiable Information, PII)的国际标准。它是基于ISO/IEC 27002信息安全控制框架的一个扩展，专门针对云服务提供商(CSPs)设计。该标准为云服务提供商提供了一套指导原则和控制措施，确保在处理个人数据时能够遵循隐私保护的更好实践，符合全球各地的隐私法律和法规要求

  2、获取认证应具备的条件

  (a)企业需持有工商行政管理部门颁发的《企业法人营业执照》等有效资质文件;

  (b)申请方应按照有效标准(ISO/IEC 27018)的要求在组织内建立公有云中个人可识别信息保护体系，并实施运行至少3个月以上;

  (c)至少完成一次内部审核，并进行了有效的管理评审;

  (d)管理体系运行期间及申请前的一年内未受到主管部门行政处罚

  (e)需要有ISO27001信息安全管理体系认证证书，且在有效的状态或者或ISO27001认证申请

  (f)基本资料(营业执照、行政许可(如有)、临时场所清单等);支持公有云中个人可识别信息保护管理体系的规程和控制措施;隐私影响评估报告(含隐私影响评估方法的描述);适用性声明;适用的法律法规的标准的清单;管理体系认证申请书》中的具体事项

  3、适用于以下行业及组织：

  ISO27018认证适用于任何部门的大型或小型组织，该标准特别适用于在云端环境中存储个人资料(例如工资单，税单、客户付款明细等等)的保护。不一定非要从事互联网，其他行业也可以适用，目前申报企业的分类为：

  政务机构：国家机关、税务机构、海关等。

  公共机构：医院、大学、科研机构、低科研、社会保障、医疗服务 教育、通信、广播电视、新闻出版等。

  商务机构：金融、电子机构、物流等。

  企业：电子商务、交通运输、信息与通信技术、治金、采矿、食品、药品、烟草、农、林、牧、副、渔业、电力、铁路、民航、化工、航空航天、水利等。

  4、取得认证的程序

  通常把取得认证的程序分为两个阶段，

  认证咨询阶段：合同签订后，我公司会派出咨询老师到企业进行调研，确定企业的认证意图，帮助企业确定组织机构和职责权限划分，体系的覆盖范围，编制和完善认证所需要的体系文件，对企业人员相关进行的培训，并指导企业按体系文件的要求运行，并帮企业进行认证的申请。

  认证审核阶段：由认证机构派出的审核员，到企业按照认证标准及企业体系文件规定对企业申请认证范围的活动的进行检查，重点是核实企业的情况及编制认证文件和记录，检查结束上报认证机构颁发证书。

  5、实施ISO27018的好处

  (a)激发对企业的信任：为客户和利益相关者提供更大的保证，即个人根据和信息受到保护;

  (b)竞争优势：通过最大限度地保护个人信息，在竞争对手中脱颖而出;

  (c)品牌保护：减少由于数据泄露而引起的不利宣传的风险;

  (d)降低风险：确保识别风险，并采取控制措施来管理或降低风险;

  (e)防止罚款：确保遵守当地法规，减少数据泄露的罚款风险;

  (f)发展业务：提供不同国家/地区的通用准则，使在全球开展业务变得更容易，并可以作为首选供应商。