ISO/IEC 27018是对ISO/IEC 27001和ISO/IEC 27002标准的扩展,为云服务供应商如何处理个人身份信息(PII)提供了指南。可用于支持其基础设施通过标准认证的云服务提供商告知其现有和潜在客户,其数据得到了安全的保护,不会被用于任何其未明确同意的用途。通过实施本标准,可以让客户和利益相关者对其个人数据和信息的安全性更加放心。本标准还提供了覆盖不同国家的通用指导方针,为在全球范围内开展业务和获得作为首选供应商的机会提供便利性。
1、在原有的ISMS标准的附录A中114个控制条款延展了15%的要求,主要对在公有云中PII的处理者保护PII 提出了额外的控制要求,并将控制要求更具体化;
2、根据ISO29100的11个隐私原则增加了11个ISO27018特定的PII保护附加控制条款。
扩展主要体现在以下几点:
2、有效的ISMS认证证书或ISMS认证申请;
3、支持公有云中个人可识别信息保护管理体系的体系文件(包括管理手册、程序文件、策略和作业文件、运行记录,适用性声明);
4、隐私影响评估报告(含隐私影响评估方法的描述);
5、申请组织内部审核和管理评审的证明资料;
6、适用的法律法规的标准的清单;
7、标准要求的其他文件。
2、竞争优势
通过最大限度地保护个人信息,在竞争对手中脱颖而出;
3、品牌保护
减少由于数据泄露而导致的品牌危机;
4、降低风险
提高识别风险能力,并采取控制措施来管理或降低风险;
5、防范法律风险
确保遵守当地法规,减少数据泄露的罚款风险;
6、发展业务
提供不同国家/地区的通用准则,使在全球开展业务变得更容易。
3、编制和完善认证所需要的体系文件;
4、对企业人员相关进行的培训,并指导企业按体系文件的要求运行;
5、配合认证机构完成审核。
1.公司简介
2.公司营业执照
3.其他相关资质(如ISO管理体系认证、软件著作权、专利、商标许可等)
4.公司的组织架构图(部门架构和目前公司的主要人员姓名、归属部门、岗位)
5.公司现有的业务流程
6.公司现有的IT方面的管理制度
