公有云個人可識別信息管理體系(ISO27018:2019)
ISO/IEC 27018:2019 主要針對保護雲中個人數據安全的行為準則。它基於ISO/IEC信息安全標準 27002,提供了適用於公共雲個人身份信息 (PII) 的 ISO/IEC 27002 控制措施實施指導。此外,它還提供了一組額外的控制措施和相關指導,旨在解決現有的ISO/IEC 27002控制措施及未解決的公共雲 PII 保護要求。
ISO27018
ISO/IEC 27018是什麼?
ISO/IEC 27018又稱"雲隱保護認證",是由英國標準協會(BSI)制定,主要針對雲服務商對雲中個人數據的安全防護的國際標準認證,旨在為雲個人身份信息處理者提供一套實務守則,以保護公共雲中的個人身份信息(PII)不受侵犯,是目前國際上最權威、最嚴格、也是最被廣泛接受和應用的信息安全體系認證。
ISO/IEC 27018適用性
ISO27018認證適用於任何部門的大型或小型組織。
該標準特別適用於在雲端環境中存儲個人資料(例如工資單,HR或客戶付款明細)的保護。現在,GDPR現已生效,對於組織而言,證明合規性並顯示其如何保護數據(尤其是未存儲在一個位置的數據)至關重要。
如果您的組織已經在實施ISO 27001 ISMS,則符合IS027001的70%規定。但是,如果使用的是基於雲的技術,則IS0 27018被視為有效的附加標準,因為公司希望專門通過存儲在雲中的數據證明GDPR的合規性。
ISO27001/27002與27018的差異
IS0 27001因為是最基礎的規範,所以在進行IS0 27018之前,必須先經過基本的lS0 27001認證。
基於IS0 27001認證基礎下,可以思考額外包含:
1、IS0 27018:如果公司預計提供雲端服務,相關雲端維運的安全控制措施;
2、從市場營銷的觀點來看,ISO 27001是可以獲得一個認證,因此容易得到客戶的認可;
3、從信息安全來看,1S0 27018更偏重於信息安全管制措施。
ISO/IEC 27018認證的好處
1、激發對企業的信任一為客戶和利益相關者提供更大的保證,即個人根據和信息受到保護;
2、競爭優勢一通過最大限度地保護個人信息,在競爭對手中脫穎而出;
3、品牌保護一減少由於數據洩露而引起的不利宣傳的風險;
4、降低風險一確保識別風險,並採取控制措施來管理或降低風險;
5、防止罰款一確保遵守當地法規,減少數據洩露的罰款風險;
6、發展業務一提供不同國家/地區的通用準則,使在全球開展業務變得更容易,並可以作為首選供應商。
上海擎標信息技術服務有限公司是一家致力於科技風險與合規內控領域提供解決方案的諮詢服務機構;是國內隱私安全合規諮詢領域的早期參與者,發佈了首個基於ISO/IEC 29151:2017的中文譯著,並於2018年11月為太平洋保險(集團)公司獲得國內首ISO29151個人身份信息保護實踐指南認證證書;於2019年10月為上海醫藥臨床研究中心獲得全球第二張ISO27701隱私信息管理體系認證證書。於2019年12月為中國電信天翼雲獲得了全國首張ISO27040存儲安全標準認證證書。
閱讀更多 中國認證隊長 的文章
