ISO/IEC27018又稱“云隱保護認證”,是由英國標準協會(BSI)制定,主要針對云服務商對云中個人數據的安全防護的認證,旨在為云個人身份信息處理者提供一套實務守則,以保護公共云中的個人身份信息(PII)不受侵犯,是目前國際上權威、嚴格、也是被廣泛接受和應用的信息安全體系認證。主要針對保護云中個人數據安全的行為準則。它基于ISO/IEC信息安全標準27002,提供了適用于公共云個人身份信息ISO/IEC27002控制措施實施指導。此外,它還提供了一組額外的控制措施和相關指導,旨在解決現有的ISO/IEC27002控制措施及未解決的公共云保護要求。
認證條件:1、中國企業持有工商行政管理部門頒發的《企業法人營業執照》、《生產許可證》或等效文件;外國企業持有關機構的登記注冊證明。
2、申請方的公有云個人身份信息管理體系已按ISO/IEC27018:2014標準的要求建立,并實施運行3個月以上。
4、公有云個人身份信息管理體系運行期間及建立體系前的一年內未受到主管部門行政處罰。
ISO/IEC27701:2019隱私信息管理體系標準:ISO/IEC 27701作為ISO/IEC 27001與ISO/IEC27002在管理上的延伸標準,其目標是通過新增的要求來增強現有信息安全管理體系(ISMS),以便建立、實施、維護和不斷改進隱私信息管理體系(PIMS),標準概述了適用于個人身份信息(PII)控制者和PII處理者的框架,用于隱私控制管理,以降低對個人隱私的各種風險
標準概述:2019年8月6日,化組織ISO和國際電工委員會IEC正式對外發布ISO/IEC27701隱私信息管理體系標準。這標志著信息安全、隱私與個人信息保護,在國際間法律與法規的合規展現有了一致性的標準。
ISO/IEC 27701作為ISO/IEC 27001與ISO/IEC27002在管理上的延伸標準,其目標是通過新增的要求來增強現有信息安全管理體(ISMS),以便建立、實施、維護和不斷改進隱私信息管理體系(PIMS),標準概述了適用于個人身份信息(PII)控制者和PII處理者的框架,用于隱私控制管理,以降低對個人隱私的各種風險。
(PS: 歐盟GDPR主責機構,前身為Article 29 Working Party的European DataProtection Board (EDPB),于ISO/IEC27701的發展過程中積極參與,并提供歐盟個人信息保護的相關建議,如ISO/IEC27701與GDPR的條文對應。包含SC27眾會員國與EDPB,JTC1/SC27在各方達成合意后,公告了ISO/IEC27701,這也是為什么國際間認為ISO/IEC 27701目前為GDPR合規展現的優秀方案之一。)
ISO/IEC 27701主要的內容分為8個章節:
至第三章:主要是適用范圍、參考標準和名詞定義的說明,ISO/IEC27701適用于任何類型的組織,包括政府、事業單位、金融、教育機構、企業及非營利組織。
第四章:標準整體說明,包括PIMS的要求如何應對ISO/IEC 27001的4~10章管理體系,以及PIMS增項的指引如何應對ISO/IEC27002的5~18章的控制措施。
第五章和第六章:進一步引述在第四章提到的PIMS對應ISO/IEC 27001管理體系要求和ISO/IEC 27002控制措施實施指引。
第七章和第八章:分別從PII控制者和PII處理者的角度,說明包括搜集和處理個人信息的情況和條件、應遵循的個人信息保護原則、設計以及預設的隱私規定,以及個人信息的分享、傳輸和揭露的增項要求。
在標準的附錄A~F中還補充了PII控制者和PII處理者可參考的控制目標和控制措施,以及對應到ISO/IEC 29100、GDPR、ISO/IEC 27018、ISO/IEC 29151的條款編號,并且加上如何應用此標準的說明,對于想要整合多項標準和遵循GDPR的組織而言有著非常好的參考意義。
認證流程:步驟1 – SGS根據組織的規模及業務類型提供定制化的建議,在您簽署建議書后,審核即可開始。
步驟2 – SGS提供可選擇的針對準備情況與薄弱環節的“預審”服務。
步驟3 – 正式審核。階段——準備情況評估:對組織建立的文件化體系及其他重要體系進行評估,提出不符合項。
步驟4 – 第二階段:包括與工作人員面談、文件記錄的檢查以及對工作實踐的現場考察,提出審核發現。審核合格后會簽發證書。
步驟5 – 根據合同,每半年或一年對體系和整改計劃的實施進行監督審核。
認證益處:一、可以使用一個體系來管理來自不同國家和地區的多項隱私法規和政策的合規性;
二、有助于組織向組織的高管理層、合作伙伴、監管機構及其他相關方提供組織有關隱私法規工作的盡職管理證據;
三、隱私信息管理體系認證能向客戶和合作伙伴傳遞信任。
ISO/IEC27701隱私信息管理體系標準作為隱私保護和個人信息管理的ISO。不僅帶來新增的特定隱私要求,以便有效整合現行ISO/IEC27001信息安全管理體系,未來更是針對隱私保護之特定領域 (PIMS-Specific),以 ISO/IEC27001延伸認證的方式實施,信息安全管理將與隱私信息管理進行密切整合。
