ISO/IEC27018標準是一個旨在保護云計算中個人數據安全的國際標準。又稱‘公有云個人可識別信息(PII)信息安全管理體系’,‘公共云中個人身份信息安全體系’,‘公有云個人隱私保護體系’,‘云中個人數據安全管理體系’,‘云隱私保護管理體系’等。同時,ISO/IEC 27018是基于ISO27001信息安全管理體系擴展的管理體系,它基于ISO/IEC 27002標準,提供了適用于公共云個人身份信息 (PII) 的 ISO/IEC 27002 控制措施實施指導。ISO/IEC 27018對ISO/IEC27001擴展的體現有兩個方面:
一是在原有的ISMS標準的附錄A中114個控制條款延展了15%的要求,主要對在公有云中PII 的處理者保護PII 提出了額外的控制要求,并將控制要求更具體化;
二是根據ISO/IEC29100的11個隱私原則增加了11個ISO/IEC27018特定的PII保護附加控制條款。
在信息網絡、大數據時代下,針對個人隱私的保護比以往任何時候都重要。鑒于最近發生的多起破壞用戶數據的違規行為,對于云提供商來說,確保消費者信息的安全性成了發展第一要務。作為目前國際公認的云個人信息保護的最佳實踐,ISO27018已得到諸多跨國云服務提供商和使用者的認可和采納。
ISO/IEC 27018又稱“云隱私保護認證”,主要針對云服務商對云中個人數據的安全防護的國際標準認證,旨在為云個人身份信息處理者提供一套實務守則,以保護公共云中的個人身份信息(PII)不受侵犯,是目前國際上最權威、最嚴格、也是最被廣泛接受和應用的信息安全體系認證。
作為最嚴格的安全防護認證之一,ISO/IEC 27018要求公有云服務必須保證清晰的透明度,用戶享有對其儲存數據完整的控制權,服務商必須將對數據的操作告知用戶并得到認同。
ISO/IEC 27018能夠確保云服務供應商在處理PII方面有著適當的程序。它還可以幫助制定更強的云服務協議。該標準就PII的問題,規定了CSPS如何培訓員工,需要什么文件程序,并提供了相應的指導方針。ISO /IEC 27018旨在為云服務客戶提供真正的透明度,以便客戶能夠清楚了解云服務供應商商在保護和保護個人數據方面所做的事情。
ISO27018認證適用于各個行業類別,只要從事信息領域服務的能接觸公有云中個人信息任何大型或小型組織都可以申請認證。
該標準特別適用于在云端環境中存儲個人資料(例如工資單,人員資料或客戶付款明細)的保護。現在,GDPR現已生效,對于組織而言,證明合規性并顯示其如何保護數據(尤其是存儲在不同位置的數據)至關重要。目前申報企業的分類為:
| 大類 | 中類 | 類別說明 |
| 01政務 | 01.01 | 其他類型組織 |
| 01.02 | 國家機關/稅務機關/海關 | |
| 02公共 | 02.01 | 低科研/社會保障/醫療服務/教育/其他 |
| 02.02 | 通信、廣播電視/新聞出版 | |
| 03商務 | 03.01 | 咨詢中介/旅游、賓館、飯店/其他 |
| 03.02 | 金融/電子商務/物流 | |
| 04產品的生產 | 04.01 | 交通運輸/信息與通信技術/冶金/采礦/食品、藥品、煙草/農、林、牧、副、漁業/其他 |
| 04.02 | 電力/鐵路/民航/化工/航空航天/水利 |
1、申報企業主體需具有合法的法律地位,能提供如營業執照等有效的法律地位證明文件;申報企業沒有受到工商行政處罰,或所受行政處罰已全部執行完畢并提供有效證據。
2、申報企業有固定的辦公場地和與申報類別匹配的業務,能接受認證機構現場評審。
3、ISO27018認證是在ISO27001信息安全管理體系的基礎上建立、實施和擴展的,ISO27001是ISO27018認證的基礎和前提條件。申請ISO27018認證的組織應已經建立信息安全管理體系,且通過了ISO27001認證或準備同時申請ISO27001認證。
4、申請的ISO27018認證范圍不能大于組織的ISO27001覆蓋范圍,超出的認證范圍必須先安排對其ISO27001實施專項擴大審核后,再安排ISO27018的審核。
5、企業已經建立ISO27018體系并至少運行三個月,并進行了有效的內部評審和管理評審;企業能提供適應的管理體系管理手冊、程序文件、適用性聲明、敏感信息聲明等。
