ISO27018公有云个人信息保护管理体系认证简介、适用范围及申请文件

文章来源：北京华道众合咨询公司 编辑：北京华道众合咨询公司

ISO/IEC27018标准是一个主要针对保护云计算中个人数据安全的国际标准。ISO27018体系（简称:CPIISMS）是基于ISO27001信息安全管理体系（简称:ISMS）扩展的管理体系。
CPIISMS对ISMS附录A 扩展的要求有两个方面：
1、在原有的ISMS标准的附录A 中114控制条款延展了15%的要求，主要对在公有云中PII（个人验证信息）的处理者保护PII 提出了额外的控制要求，并将控制要求更具体化；
2、在ISMS标准附录A 中的114个控制条款基础上，根据ISO/IEC 29100 的11个隐私原则增加了11个CPIISMS 特定的PII 保护附加控制条款。

ISO27018体系认证适用范围（图）
ISO27018认证适用于各个行业类别，只要从事信息领域服务的任何大型或小型组织都可以申请认证。不一定非要从事互联网，其他行业也可以适用。

申请ISO27018认证前提条件
1、公有云中个人可识别信息保护管理体系（CPIISMS）是在ISO/IEC 27001:2013 信息安全管理体系的基础上建立、实施和扩展的，ISMS 是CPIISMS 的基础和前提条件。申请CPIISMS 的组织应已经建立信息安全管理体系，且通过了ISMS 认证或准备同时申请ISMS 认证。
2、申请的CPIISMS认证范围需不大于组织的ISMS的认证范围，超出的认证范围必须先安排对其ISMS实施专项扩大审核后，再安排CPIISMS 的审核。

ISO27018认证需提供资料
1.企业资质文件（营业执照、行政许可（如有）等）；
2.有效的ISO27001认证证书或ISO27001认证申请；
3.支持公有云中个人可识别信息保护管理体系的规程和控制措施；
4.隐私影响评估报告（含隐私影响评估方法的描述）；
5.适用性声明；
6.适用的法律法规及标准清单；
7.体系文件等.

【返回 】