01ISO 27018认证是什么

ISO27018又称“云隐保护认证“，是由英国标准协会 (BSI)制定，主要针对云服务商对云中个人数据的安全防护的guojibiaozhun认证。旨在为云个人身份信息处理者提供一套实务守则，以保护公共云中的个人身份信息( PII)不受侵犯，是目前国际上Zuiquanwei、Zui严格、也是Zui被广泛接受和应用的信息安全体系认证。ISO27018管理体系（以下简称：CPIISMS）是基于ISO27001信息安全管理体系（以下简称：ISMS）扩展的管理体系。

01ISO 27018认证是什么

ISO27018又称“云隐保护认证“，是由英国标准协会 (BSI)制定，主要针对云服务商对云中个人数据的安全防护的guojibiaozhun认证。旨在为云个人身份信息处理者提供一套实务守则，以保护公共云中的个人身份信息( PII)不受侵犯，是目前国际上Zuiquanwei、Zui严格、也是Zui被广泛接受和应用的信息安全体系认证。ISO27018管理体系（以下简称：CPIISMS）是基于ISO27001信息安全管理体系（以下简称：ISMS）扩展的管理体系。02ISO 27018认证的适用范围

ISO27018认证适用于任何部门的大型或小型组织，该标准特别适用于在云端环境中存储个人资料（例如工资单，税单、客户付款明细等等）的保护。目前申报企业的分类为：

政府单位：国家机关、税务机构、海关等；

公共机构：医院、大学、科研机构等；

企业：信息技术、通信、金融、电子商务、物流等。

03ISO 27018认证的主要内容

ISO27018认证标准主要包括以下内容：

数据处理的目的和方式

云服务提供商应该明确规定个人数据的处理目的和方式，并且只能根据用户的授权进行数据处理。

个人数据的保留时间

云服务提供商应该明确规定个人数据的保留时间，并且在达到保留期限后，及时删除或者匿名化个人数据。

个人数据的披露和共享

云服务提供商应该明确规定个人数据的披露和共享要求，并且在未经用户授权的情况下，不得披露或共享个人数据。

个人数据的安全措施

云服务提供商应该采取一系列的技术和组织措施，保护个人数据的安全，防止数据泄露、篡改和丢失。

用户的权利和选择

云服务提供商应该确保用户能够行使自己的权利，包括访问、更正、删除和限制处理个人数据的权利。

04ISO 27018与ISO 27001的关系

ISO27018标准与ISO27001标准配合使用，可用于支持其基础设施通过标准认证的云服务提供商告知其现有的和潜在客户，其数据得到了安全的保护，不会被用于任何其未明确同意的用途。

ISO27018对ISO27001扩展的体现有两个方面：

1、在原有的ISMS标准的附录A中114个控制条款延展了15%的要求，主要对在公有云中PII的处理者保护PII 提出了额外的控制要求，并将控制要求更具体化；

2、根据ISO29100的11个隐私原则增加了11个ISO27018特定的PII保护附加控制条款。

扩展主要体现在以下几点：

05ISO 27018认证所需材料

1、组织法律证明资料(营业执照、行政许可、临时场所清单等)；

2、有效的ISMS认证证书或ISMS认证申请；

3、支持公有云中个人可识别信息保护管理体系的体系文件(包括管理手册、程序文件、策略和作业文件、运行记录，适用性声明)；

4、隐私影响评估报告(含隐私影响评估方法的描述)；

5、申请组织内部审核和管理评审的证明资料；

6、适用的法律法规的标准的清单；

7、标准要求的其他文件。

06通过ISO 27018认证的收益

1、提高组织的可信度

获得ISO27018认证意味着组织在数据安全管理方面已达到了国际lingxian水平，即有能力为客户和利益相关者提供更充分的数据anquanbaozheng；

2、竞争优势

通过Zui大限度地保护个人信息，在竞争对手中脱颖而出；

3、品牌保护

减少由于数据泄露而导致的品牌危机；

4、降低风险

提高识别风险能力，并采取控制措施来管理或降低风险；

5、防范法律风险

确保遵守当地法规，减少数据泄露的罚款风险；

6、发展业务

提供不同国家/地区的通用准则，使在全球开展业务变得更容易。