什么是ISO27018认证 ，怎么办理？

在信息网络、大数据时代下，针对个人隐私的保护比以往任何时候都重要。鉴于*近发生的多起破坏用户数据的违规行为，对于云提供商来说，确保消费者信息的安全性成了发展**要务。作为目前国际公认的云个人信息保护的**实践，ISO27018已得到诸多跨国云服务提供商和使用者的认可和采纳。

什么是ISO27018认证

ISO/IEC27018标准是一个旨在保护云计算中个人数据安全的****。又称‘公有云个人可识别信息（PII）信息安全管理体系’，‘公共云中个人身份信息安全体系’，‘公有云个人隐私保护体系’，‘云中个人数据安全管理体系’，‘云隐私保护管理体系’等。同时，ISO/IEC 27018是基于ISO27001信息安全管理体系扩展的管理体系，它基于ISO/IEC 27002标准，提供了适用于公共云个人身份信息 (PII) 的 ISO/IEC 27002 控制措施实施指导。ISO/IEC 27018对ISO/IEC27001扩展的体现有两个方面：

一是在原有的ISMS标准的附录A中114个控制条款延展了15%的要求，主要对在公有云中PII 的处理者保护PII 提出了额外的控制要求，并将控制要求更具体化；
二是根据ISO/IEC29100的11个隐私原则增加了11个ISO/IEC27018特定的PII保护附加控制条款。

扩展主要体现在以下几点：

1、在存储和任何可移动的物理介质中，对PII进行加密的要求

2、一旦数据不再需要，在指定的时间内删除PII

3、符合云服务协议中明文规定的目的时，才进行PII处理

4、如法规所明文规定，在处理PII原则的权利问题上，可检查和纠正PII

哪些企业适合做ISO27018认证

ISO27018认证适用于各个行业类别，只要从事信息领域服务的能接触公有云中个人信息任何大型或小型组织都可以申请认证。

该标准特別适用于在云端环境中存储个人资料(例如工资单，人员资料或客户付款明细)的保护。现在，GDPR现已生效，对于组织而言，证明合规性并显示其如何保护数据(尤其是存储在不同位置的数据)至关重要。目前申报企业的分类为：

ISO27018申报条件

1、ISO27018认证是在ISO27001信息安全管理体系的基础上建立、实施和扩展的，ISO27001是ISO27018认证的基础和前提条件。申请ISO27018认证的组织应已经建立信息安全管理体系，且通过了ISO27001认证或准备同时申请ISO27001认证。

2、申请的ISO27018认证范围不能大于组织的ISO27001覆盖范围，超出的认证范围必须先安排对其ISO27001实施专项扩大审核后，再安排ISO27018的审核。

通过认证的收益

ISO27018

1、提升企业安全实力一为客户和利益相关者提供更大保证，更大限度做到信息安全保护；

2、提升企业竞争优势一通过*大限度地保护个人信息，在竞争对手中脱颖而出；

3、提升企业品牌形象一减少由于数据泄露而引起的不利宣传的风险；

4、降低企业安全风险一确保识别风险，并采取控制措施来管理或降低风险；

5、防止罚款一确保遵守当地法规，减少数据泄露的罚款风险；

6、发展业务一提供不同国家/地区的通用准则，使在全球开展业务变得更容易。

申报ISO27018基本资料

法律地位证明文件（如营业执照、行政许可等）

有效的ISO27001认证证书或认证申请

管理手册和体系程序文件

适用性声明（SOA）

适用的法律法规的标准的清单

敏感信息申明表