ISO/IEC27018又稱“云隱保護(hù)認(rèn)證”,是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)制定,主要針對(duì)云服務(wù)商對(duì)云中個(gè)人數(shù)據(jù)的安全防護(hù)的認(rèn)證,旨在為云個(gè)人身份信息處理者提供一套實(shí)務(wù)守則,以保護(hù)公共云中的個(gè)人身份信息(PII)不受侵犯,是目前國(guó)際上權(quán)威、嚴(yán)格、也是被廣泛接受和應(yīng)用的信息安全體系認(rèn)證。主要針對(duì)保護(hù)云中個(gè)人數(shù)據(jù)安全的行為準(zhǔn)則。它基于ISO/IEC信息安全標(biāo)準(zhǔn)27002,提供了適用于公共云個(gè)人身份信息ISO/IEC27002控制措施實(shí)施指導(dǎo)。此外,它還提供了一組額外的控制措施和相關(guān)指導(dǎo),旨在解決現(xiàn)有的ISO/IEC27002控制措施及未解決的公共云保護(hù)要求。
認(rèn)證條件:1、中國(guó)企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營(yíng)業(yè)執(zhí)照》、《生產(chǎn)許可證》或等效文件;外國(guó)企業(yè)持有關(guān)機(jī)構(gòu)的登記注冊(cè)證明。
2、申請(qǐng)方的公有云個(gè)人身份信息管理體系已按ISO/IEC27018:2014標(biāo)準(zhǔn)的要求建立,并實(shí)施運(yùn)行3個(gè)月以上。
3、至少完成一次內(nèi)部審核,并進(jìn)行了管理評(píng)審。
4、公有云個(gè)人身份信息管理體系運(yùn)行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰。
ISO/IEC27701:2019隱私信息管理體系標(biāo)準(zhǔn):ISO/IEC 27701作為ISO/IEC 27001與ISO/IEC27002在管理上的延伸標(biāo)準(zhǔn),其目標(biāo)是通過(guò)新增的要求來(lái)增強(qiáng)現(xiàn)有信息安全管理體系(ISMS),以便建立、實(shí)施、維護(hù)和不斷改進(jìn)隱私信息管理體系(PIMS),標(biāo)準(zhǔn)概述了適用于個(gè)人身份信息(PII)控制者和PII處理者的框架,用于隱私控制管理,以降低對(duì)個(gè)人隱私的各種風(fēng)險(xiǎn)
標(biāo)準(zhǔn)概述:2019年8月6日,化組織ISO和國(guó)際電工委員會(huì)IEC正式對(duì)外發(fā)布ISO/IEC27701隱私信息管理體系標(biāo)準(zhǔn)。這標(biāo)志著信息安全、隱私與個(gè)人信息保護(hù),在國(guó)際間法律與法規(guī)的合規(guī)展現(xiàn)有了一致性的標(biāo)準(zhǔn)。
ISO/IEC 27701作為ISO/IEC 27001與ISO/IEC27002在管理上的延伸標(biāo)準(zhǔn),其目標(biāo)是通過(guò)新增的要求來(lái)增強(qiáng)現(xiàn)有信息安全管理體(ISMS),以便建立、實(shí)施、維護(hù)和不斷改進(jìn)隱私信息管理體系(PIMS),標(biāo)準(zhǔn)概述了適用于個(gè)人身份信息(PII)控制者和PII處理者的框架,用于隱私控制管理,以降低對(duì)個(gè)人隱私的各種風(fēng)險(xiǎn)。
(PS: 歐盟GDPR主責(zé)機(jī)構(gòu),前身為Article 29 Working Party的European DataProtection Board (EDPB),于ISO/IEC27701的發(fā)展過(guò)程中積極參與,并提供歐盟個(gè)人信息保護(hù)的相關(guān)建議,如ISO/IEC27701與GDPR的條文對(duì)應(yīng)。包含SC27眾會(huì)員國(guó)與EDPB,JTC1/SC27在各方達(dá)成合意后,公告了ISO/IEC27701,這也是為什么國(guó)際間認(rèn)為ISO/IEC 27701目前為GDPR合規(guī)展現(xiàn)的優(yōu)秀方案之一。)
這個(gè)新標(biāo)準(zhǔn)有什么條款?
ISO/IEC 27701主要的內(nèi)容分為8個(gè)章節(jié):
至第三章:主要是適用范圍、參考標(biāo)準(zhǔn)和名詞定義的說(shuō)明,ISO/IEC27701適用于任何類型的組織,包括政府、事業(yè)單位、金融、教育機(jī)構(gòu)、企業(yè)及非營(yíng)利組織。
第四章:標(biāo)準(zhǔn)整體說(shuō)明,包括PIMS的要求如何應(yīng)對(duì)ISO/IEC 27001的4~10章管理體系,以及PIMS增項(xiàng)的指引如何應(yīng)對(duì)ISO/IEC27002的5~18章的控制措施。
第五章和第六章:進(jìn)一步引述在第四章提到的PIMS對(duì)應(yīng)ISO/IEC 27001管理體系要求和ISO/IEC 27002控制措施實(shí)施指引。
第七章和第八章:分別從PII控制者和PII處理者的角度,說(shuō)明包括搜集和處理個(gè)人信息的情況和條件、應(yīng)遵循的個(gè)人信息保護(hù)原則、設(shè)計(jì)以及預(yù)設(shè)的隱私規(guī)定,以及個(gè)人信息的分享、傳輸和揭露的增項(xiàng)要求。
在標(biāo)準(zhǔn)的附錄A~F中還補(bǔ)充了PII控制者和PII處理者可參考的控制目標(biāo)和控制措施,以及對(duì)應(yīng)到ISO/IEC 29100、GDPR、ISO/IEC 27018、ISO/IEC 29151的條款編號(hào),并且加上如何應(yīng)用此標(biāo)準(zhǔn)的說(shuō)明,對(duì)于想要整合多項(xiàng)標(biāo)準(zhǔn)和遵循GDPR的組織而言有著非常好的參考意義。
認(rèn)證流程:步驟1 – SGS根據(jù)組織的規(guī)模及業(yè)務(wù)類型提供定制化的建議,在您簽署建議書(shū)后,審核即可開(kāi)始。
步驟2 – SGS提供可選擇的針對(duì)準(zhǔn)備情況與薄弱環(huán)節(jié)的“預(yù)審”服務(wù)。
步驟3 – 正式審核。階段——準(zhǔn)備情況評(píng)估:對(duì)組織建立的文件化體系及其他重要體系進(jìn)行評(píng)估,提出不符合項(xiàng)。
步驟4 – 第二階段:包括與工作人員面談、文件記錄的檢查以及對(duì)工作實(shí)踐的現(xiàn)場(chǎng)考察,提出審核發(fā)現(xiàn)。審核合格后會(huì)簽發(fā)證書(shū)。
步驟5 – 根據(jù)合同,每半年或一年對(duì)體系和整改計(jì)劃的實(shí)施進(jìn)行監(jiān)督審核。
步驟6 – 證書(shū)簽發(fā)滿3年期后,實(shí)施再認(rèn)證審核。
認(rèn)證益處:一、可以使用一個(gè)體系來(lái)管理來(lái)自不同國(guó)家和地區(qū)的多項(xiàng)隱私法規(guī)和政策的合規(guī)性;
二、有助于組織向組織的高管理層、合作伙伴、監(jiān)管機(jī)構(gòu)及其他相關(guān)方提供組織有關(guān)隱私法規(guī)工作的盡職管理證據(jù);
三、隱私信息管理體系認(rèn)證能向客戶和合作伙伴傳遞信任。
ISO/IEC27701隱私信息管理體系標(biāo)準(zhǔn)作為隱私保護(hù)和個(gè)人信息管理的ISO。不僅帶來(lái)新增的特定隱私要求,以便有效整合現(xiàn)行ISO/IEC27001信息安全管理體系,未來(lái)更是針對(duì)隱私保護(hù)之特定領(lǐng)域 (PIMS-Specific),以 ISO/IEC27001延伸認(rèn)證的方式實(shí)施,信息安全管理將與隱私信息管理進(jìn)行密切整合。
