什么是ISO/IEC27018公有云个人信息安全管理体系认证

个人数据泄漏的潜在风险已成为国际首要议题，大量重大信息安全事件已将人们的注意力引向如何保护自己的个人详细信息。现如今，越来越多的个人和消费层面的应用均为云端应用。云为组织和消费者带来了诸多好处：节省成本，增加对信息的移动访问的灵活性。它同时也引起了对数据保护和隐私的担忧，特别是个人身份信息 (PII)，PII被定义为可用于识别与此类信息相关的PII当事人以及可直接或间接与PII当事人关联的任何信息。

对用户而言，如果一个云服务提供商 (GSP) 能提供安心和信心给到其用户，证明其云服务是可靠的、符合适用法规和合同要求的，并对其能采用最好的行业实践，那么该云服务提供商将成为用户的最佳选择。在这种实际需求存在的背景下，ISO/IEC 27018应运而生。

ISO/IEC 27018是公有云服务中个人可识别信息保护的一种行为准则，以允许基础结构已通过标准认证的GSP告知其现有客户和潜在客户其数据受到保护，不会被用于未经他们明确同意的任何目的。ISO/IEC 27018提供了普遍接受的控制目标、实施措施保护个人可识别信息 (PII) 的控制和指导，使其与ISO/IEC 29100的隐私原则和世界各地的个人数据隐私法规一致。ISO/IEC 27018能够确保云服务供应商在处理PII方面有着适当的程序，它还可以帮助制定更强的云服务协议，旨在为云服务客户提供真正的价值与透明度。

服务内容

ISO/IEC 27018通过两个途径提供了针对PII的额外控制：

1. 提供如何在PII保护背景下实施特定的ISO/IEC 27001控制的指导；

2. 提供在现有的ISO/IEC 27001下没有提到的，但针对云环境下PII的控制。

此外，ISO/IEC 27018为个人信息的返回，转移和安全处理建立清晰透明的参数；并要求GSP在客户签订合同之前公开其从事数据处理的任何子处理器的身份；如果GSP更改了自处理器，则要求GSP及时通知客户，使他们有机会反对并终止其协议。

ISO/IEC 27018适用于任何大型或小型组织，对于组织而言，证明合规性并显示其如何保护数据（尤其是未存储在一个位置的数据）至关重要。

相关标准

○  ISO/IEC 27001-2013 信息技术-安全技术-信息安全管理体系-要求

○  ISO/IEC 29100-2018 信息技术-安全技术-隐私架构框架

○  ISO/IEC 27002-2022 信息安全、网络安全和隐私保护 信息安全控制

○  GB/T 35273-2020 信息安全技术 个人信息安全规范

常见问题

1. 申请认证前，体系需要运行多长时间？

答：申请认证前，体系至少需要已经运行3个月以上。

2. 获得证书后，如何查询证书真伪及有效性？

答：证书的真伪及有效性可以通过登录全国认证认可信息公共服务平台（http://cx.cnca.cn）进行查询。

3. 获得证书后，证书有效期是多久？每年是否都需要审核？

答：获得证书后，证书有效期是3年，且每年都需要至少实施一次现场审核才能持续保持证书有效。

4. 证书有效期到期后怎么办？

答：在证书到期前，我们会安排客服专员和您主动联系，协助您办理再认证申请相关事宜。

为什么选择我们

分公司