云隐私保护认证


一、业务背景

对于组织和消费者而言,云具有大量优势:比如节省成本、灵活性以及移动访问信息均深受青睐。但云同样也引发人们对数据保护和隐私方面的担忧,尤其是涉及个人可识别信息。个人可识别信息(PII)包括任何可用以确定特定用户身份的信息。比较直接的例子包括姓名、年龄、性别、联系方式等。但也有一些个人身份信息不常容易让人联想到,例如病历卡、IP地址和银行对账单 。

个人身份信息(PII)数据泄露的潜在风险已成为国际首要议程。大量重大信息安全事件已将人们的注意力引向如何保护个人信息。与此同时,企业对安全的投入比以往更多。对于云提供商,确保消费者信息的安全性是第一要务。已发布的ISO/IEC 27018:2019(Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors)标准要求那些已通过标准认证的云服务提供商,告知其现有客户和潜在客户其数据受到保护,不会被用于未经他们明确同意的任何目的。鉴于最近发生的破坏用户数据的违规行为,通过此项标准获得认证可以为组织提供全球公认的安全控制。它还向云提供商的客户展示了他们在保护消费者数据方面的重要性。这为能够宣称自己有能力确保客户信息安全的公司提供了独特的营销优势。


二、业务介绍

ISO/IEC27018又称“云隐私保护认证”,是主要针对保护云中个人数据安全的行为准则。它基于ISO/IEC 27002标准,提供了适用于公共云个人身份信息 (PII) 的 ISO/IEC 27002控制措施实施指南。此外,它还提供了一组额外的控制措施和相关指导,旨在解决现有的 ISO/IEC 27002 控制措施集未解决的公共云 PII 保护要求。

ISO/IEC 27018标准与ISO/IEC 27001系列标准配合使用。ISO/IEC 27018要求公有云服务必须保证清晰的透明度,用户享有对其储存数据完整的控制权,服务商必须将对数据的操作告知用户并得到认同。 这一标准包含若干指南,这些指南旨在:

1)帮助公有云服务供应商在作为 PII处理者开展业务时承担必要的责任,无论此类责任是否直接或通过合同明确。

2)使公有云PII处理者在相关事务中保持透明,从而让客户可以选择经过良好治理的,基于云的PII 处理服务。

3)协助客户和公有云PII处理者达成合同协议。

4)为云服务客户提供行使审核和合规权利及责任的机制。单独的—个人云服务客户审核托管在多方虚拟化服务(云)环境中的数据可能在技术上不切实际,同时可能增大物理及逻辑的网络安全风险。

ISO/IEC 27018能够确保云服务供应商在处理PII方面有着适当的程序。它还可以帮助制定更强的云服务协议。ISO/IEC 27018旨在为云服务客户提供真正的透明度,以便客户能够清楚了解云服务供应商在保护和保护个人数据方面所做的事情。


三、实施该业务的价值 

ISO/IEC 27018标准建立在ISO/IEC 27001信息安全管理体系框架和ISO/IEC 27002作为最佳实践控制设置的坚实基础之上。通过ISO/IEC 27018标准认证,即证明其遵守国际公认的最佳实践,在云和更广泛的运营层面构建组织的生存力。通过ISO/IEC 27018标准认证的益处包括不限于:增强信任,为客户和利益相关者提供更大的保证,即个人数据和信息受到保护;通过最大限度地保护个人信息,在竞争对手中脱颖而出展示竞争优势减少由于数据泄露而引起的不利宣传的风险保护品牌声誉;确保识别风险,并采取控制措施来管理或降低风险;确保遵守当地法规,降低对数据泄露的罚款风险;提供覆盖不同国家或地区的通用指导方针,为在全球范围内开展业务和获得作为首选供应商的机会提供便利性,企业获得发展。


四、业务流程

ISO27018是基于ISO27001的增强版本,旨在为公有云中的PII处理者提供增强的控制能力,从而有助于PII 保护。申请认证的组织组织应已建立符合ISO/IEC 27001:2013标准要求的管理体系,在申请认证之前应完成内部审核和管理评审,并保证体系有效、充分运行三个月以上,并且按照ISO27018的指南建立了相关控制措施。  

组织应向赛西认证提供管理体系运行的充分信息,对于多现场应说明各现场的认证范围、地址及人员分布等情况,赛西认证将以抽样的方式对多现场进行审核;

认证分两个阶段进行:第一阶段审核,主要进行文件审核并确认第二阶段审核准备的充分性;第二阶段审核,主要对体系的符合性和有效性进行评价,作出现场审核的推荐结论;

证书有效期3年,获得认证后每年进行一次监督。