ISO/IEC27018又称“云隐保护认证”,是由英国标准协会(BSI)制定,主要针对云服务商对云中个人数据的安全防护的认证,旨在为云个人身份信息处理者提供一套实务守则,以保护公共云中的个人身份信息(PII)不受侵犯,是目前国际上权威、严格、也是被广泛接受和应用的信息安全体系认证。主要针对保护云中个人数据安全的行为准则。它基于ISO/IEC信息安全标准27002,提供了适用于公共云个人身份信息ISO/IEC27002控制措施实施指导。此外,它还提供了一组额外的控制措施和相关指导,旨在解决现有的ISO/IEC27002控制措施及未解决的公共云保护要求。
认证条件:1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。
2、申请方的公有云个人身份信息管理体系已按ISO/IEC27018:2014标准的要求建立,并实施运行3个月以上。
4、公有云个人身份信息管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
ISO/IEC27701:2019隐私信息管理体系标准:ISO/IEC 27701作为ISO/IEC 27001与ISO/IEC27002在管理上的延伸标准,其目标是通过新增的要求来增强现有信息安全管理体系(ISMS),以便建立、实施、维护和不断改进隐私信息管理体系(PIMS),标准概述了适用于个人身份信息(PII)控制者和PII处理者的框架,用于隐私控制管理,以降低对个人隐私的各种风险
标准概述:2019年8月6日,化组织ISO和国际电工委员会IEC正式对外发布ISO/IEC27701隐私信息管理体系标准。这标志着信息安全、隐私与个人信息保护,在国际间法律与法规的合规展现有了一致性的标准。
ISO/IEC 27701作为ISO/IEC 27001与ISO/IEC27002在管理上的延伸标准,其目标是通过新增的要求来增强现有信息安全管理体(ISMS),以便建立、实施、维护和不断改进隐私信息管理体系(PIMS),标准概述了适用于个人身份信息(PII)控制者和PII处理者的框架,用于隐私控制管理,以降低对个人隐私的各种风险。
(PS: 欧盟GDPR主责机构,前身为Article 29 Working Party的European DataProtection Board (EDPB),于ISO/IEC27701的发展过程中积极参与,并提供欧盟个人信息保护的相关建议,如ISO/IEC27701与GDPR的条文对应。包含SC27众会员国与EDPB,JTC1/SC27在各方达成合意后,公告了ISO/IEC27701,这也是为什么国际间认为ISO/IEC 27701目前为GDPR合规展现的优秀方案之一。)
ISO/IEC 27701主要的内容分为8个章节:
至第三章:主要是适用范围、参考标准和名词定义的说明,ISO/IEC27701适用于任何类型的组织,包括政府、事业单位、金融、教育机构、企业及非营利组织。
第四章:标准整体说明,包括PIMS的要求如何应对ISO/IEC 27001的4~10章管理体系,以及PIMS增项的指引如何应对ISO/IEC27002的5~18章的控制措施。
第五章和第六章:进一步引述在第四章提到的PIMS对应ISO/IEC 27001管理体系要求和ISO/IEC 27002控制措施实施指引。
第七章和第八章:分别从PII控制者和PII处理者的角度,说明包括搜集和处理个人信息的情况和条件、应遵循的个人信息保护原则、设计以及预设的隐私规定,以及个人信息的分享、传输和揭露的增项要求。
在标准的附录A~F中还补充了PII控制者和PII处理者可参考的控制目标和控制措施,以及对应到ISO/IEC 29100、GDPR、ISO/IEC 27018、ISO/IEC 29151的条款编号,并且加上如何应用此标准的说明,对于想要整合多项标准和遵循GDPR的组织而言有着非常好的参考意义。
认证流程:步骤1 – SGS根据组织的规模及业务类型提供定制化的建议,在您签署建议书后,审核即可开始。
步骤2 – SGS提供可选择的针对准备情况与薄弱环节的“预审”服务。
步骤3 – 正式审核。阶段——准备情况评估:对组织建立的文件化体系及其他重要体系进行评估,提出不符合项。
步骤4 – 第二阶段:包括与工作人员面谈、文件记录的检查以及对工作实践的现场考察,提出审核发现。审核合格后会签发证书。
步骤5 – 根据合同,每半年或一年对体系和整改计划的实施进行监督审核。
认证益处:一、可以使用一个体系来管理来自不同国家和地区的多项隐私法规和政策的合规性;
二、有助于组织向组织的高管理层、合作伙伴、监管机构及其他相关方提供组织有关隐私法规工作的尽职管理证据;
三、隐私信息管理体系认证能向客户和合作伙伴传递信任。
ISO/IEC27701隐私信息管理体系标准作为隐私保护和个人信息管理的ISO。不仅带来新增的特定隐私要求,以便有效整合现行ISO/IEC27001信息安全管理体系,未来更是针对隐私保护之特定领域 (PIMS-Specific),以 ISO/IEC27001延伸认证的方式实施,信息安全管理将与隐私信息管理进行密切整合。
