ISO27018个人可识别信息安全管理体系/公有云中隐私信息保护管理体系

一、前言

    云为组织和消费者带来了诸多好处：节省成本，灵活性和对信息移动便捷的访问等。但是它还引起了对数据保护和隐私的担忧；特别是围绕个人身份信息（PII）数据的泄露。个人身份信息（PI）数据泄露的潜在风险已成为国际首要议程。大量重大信息安全事件已将人们的注意力引向如何保护个人信息。

而企业对安全的投入比以往更多。根据IDC的统计，到2020年，全球IT安全支出达到1.016亿美元。

    为了解决这一问题，国际标准化组织发布了ISO/IEC27018标准。已发布的ISO/IEC27018标准要求那些已通过标准认证的云服务提供商，告知其现有客户和潜在客户其数据受到保护，不会被用于未经他们明确同意的任何目的。

二、什么是ISO/IEC 27018标准

    ISO/IEC27018《信息技术一安全技术一在充当PII处理器的公共云中保护个人身份信息(PII)的行为准则》是主要针对保护云中个人数据安全的行为准则。它基于ISO/IEC27002标准，提供了适用于公共云个人身份信息（PII)的ISO/IEC27002控制措施实施指导。此外，它还提供了一组额外的控制措施和相关指导，旨在解决现有的ISO/IEC27002控制措施集未解决的公共云PIl保护要求。

三、ISO/IEC 27018提供的安全控制措施

    ISO/IEC27018将ISO/IEC27002中描述的一系列安全控制作为基础，然后以两种方式扩展。首先，在许多领域中扩展了现有的安全控制，以处理云服务客户和云服务供应商之间的责任。其次，添加了一组新的安全控制，以反映ISO/IEC29100隐私框架标准中定义的隐私原则。

ISO/IEC27018扩展的安全控制包括如下：

1、在存储和任何可移动的物理介质中，对PIIl进行加密的要求

2、一旦数据不再需要，在指定的时间内删除PII

3、符合云服务协议中明文规定的目的时，才进行PII处理

4、如法规所明文规定，在处理PII原则的权利问题上，可检查和纠正PII

四、为什么要获得ISO27017和IS027018认证？

    对于云提供商，确保消费者信息的安全性是第一要务。鉴于最近发生的破坏用户数据的违规行为，通过国际标准获得认证可以为组织提供全球公认的安全控制。它还向云提供商的客户展示了他们在保护消费者数据方面的重要性。这为能够宣称自己有能力确保客户信息安全的公司提供了独特的营销优势。

虽然某些组织寻求认证以符合其独特的法规需求或客户的需求，但其他组织应考虑ISO27017或ISO27018，以最大程度地减少云服务组织固有的风险和潜在的破坏成本。遵循严格的ISO27017和ISO27018准则，您的组织可以放心地运作，并在客户中建立信任的声誉。

五、ISO 27018有什么好处？

●增强信任一—为客户和利益相关者提供更大的保证，即个人数据和信息受到保护。

●竟争优势——通过最大限度地保护个人信息，在竟争对手中脱颖而出

●保护品牌——减少由于数据泄露而引起的不利宣传的风险

●降低风险——确保识别风险，并采取控制措施来管理或降低风险

●防止罚款——确保遵守当地法规，减少数据泄露的罚款风险

■发展业务一提供不同国家/地区的通用准则，使在全球开展业务变得更容易，并可以作为首选供应商

六、ISO27018公有云个人可识别信息管理体系适用范围

    与云相关的15项ISO/IEC27002附加控制要求；11个额外的基于云的个人信息要求；ISO27018适用于所有类型和规模的组织，这些组织作为PII处理者通过与其他组织签定的云计算提供信息处理服务；也适用于PII控制者的组织。

七、实施ISO27018管理体系需要的基本资料

1、法律地位证明文件（如营业执照、行政许可等）

2、有效的ISO27001认证证书或认证申请

3、信息安全管理手册和程序文件

4、适用性声明(SOA）

5、适用的法律法规的标准的清单

6、涉及的敏感信息声明表

八、ISO27018申报条件

1、ISO27018认证是在ISO27001信息安全管理体系的基础上建立、实施和扩展的，ISO27001是ISO27018认证的基础和前提条件。申请ISO27018认证的组织应已经建立信息安全管理体系，且通过了ISO27001认证或准备同时申请ISO27001认证。

2、申请的ISO27018认证范围不能大于组织的ISO27001覆盖范围，超出的认证范围必须先安排对其ISO27001实施专项扩大审核后，再安排ISO27018的审核。

认证咨询服务联系：010-87660482  马老师 13391829961（微信同号）