ISO/IEC 27018公有云個人信息管理體系認證

ISO/IEC27017和ISO/IEC27018的由來

最近幾乎每一項市場調(diào)查都預(yù)測云服務(wù)的快速擴張。著名的信息和通信技術(shù)市場研究公司加特納(Gartner)預(yù)測，云計算市場從2012年的1100億美元增長到2017年的1310億美元，整體增長了18.6%【1】。思科全球云指數(shù)【2】預(yù)測IaaS和SaaS服務(wù)正分別以13%的復(fù)合年增長率和33%的復(fù)合年增長率快速成長。

現(xiàn)在差不多所有的個人和消費層面的應(yīng)用均為云端應(yīng)用。但是，在企業(yè)、政府和公共服務(wù)環(huán)境中云服務(wù)的采用依然不高。根據(jù)Ciphercloud研究，合規(guī)性（64%）和數(shù)據(jù)安全（32%）是云應(yīng)用最大的兩個挑戰(zhàn)。

對用戶而言，如果一個云服務(wù)提供商能提供安心和信心給到其用戶，證明其云服務(wù)是可靠的、符合適用法規(guī)和合同要求的，并對其能采用最好的行業(yè)實踐，那么該云服務(wù)提供商將成為用戶的選擇。在這種實際需求存在的背景下，ISO/IEC27017和ISO/IEC27018應(yīng)運而生。

對云營運來講，ISO/IEC27001:2013則是一個很好的標準，但云服務(wù)提供商希望看到更多的針對云的控制規(guī)范來幫助他們解決云的具體問題。ISO/IEC27017和ISO/IEC27018標準正是工業(yè)界在產(chǎn)生這些要求后結(jié)果的體現(xiàn)。

云服務(wù)提供商提供的傳統(tǒng)服務(wù)級別協(xié)議(SLA)主要側(cè)重于數(shù)據(jù)中心的績效，如服務(wù)器和網(wǎng)絡(luò)可用性、環(huán)境和物理安全問題，以及傳統(tǒng)的服務(wù)，如備份和監(jiān)控。云服務(wù)有其特定的關(guān)注點，它們通常不在服務(wù)級別和合同協(xié)議中提到。

作為PII處理者的公共云中的個人身份信息(PII)保護-要求-基于ISO/IEC 27018: 2025，基于ISO/IEC 27018:2025制定。ISO/IEC 27018根據(jù)ISO/IEC 29100中的隱私原則，為實施保護個人身份信息（PII）的措施制定了普遍接受的控制目標、控制措施和指南，用于公共云計算環(huán)境。ISO/IEC 27018規(guī)定了基于ISO/IEC 27002:2022的指南，考慮了保護PII的監(jiān)管要求，這些要求可以適用于公共云服務(wù)提供商的信息安全風(fēng)險環(huán)境。

本標準適用于所有類型和規(guī)模的組織，包括公共和私營公司、政府實體和非營利組織，這些組織根據(jù)合同通過云計算作為PII處理器向其他組織提供信息處理服務(wù)。

? 增強信任：通過作為PII處理者的公共云中的個人身份信息(PII)保護-要求-基于ISO/IEC 27018: 2025認證，企業(yè)可以向客戶和利益相關(guān)者證明其在保護個人數(shù)據(jù)方面的承諾。 
? 競爭優(yōu)勢：獲得認證的企業(yè)在市場中更具競爭力，能夠吸引更多客戶。 
? 合規(guī)性：幫助企業(yè)遵守相關(guān)法律法規(guī)，降低因數(shù)據(jù)泄露而導(dǎo)致的罰款風(fēng)險。 
? 風(fēng)險管理：通過實施標準化的控制措施，企業(yè)能夠更有效地識別和管理風(fēng)險。

CNLPQP_PIIC_01公有云個人信息保護管理體系認證 版本1.1

認證對象通過 ISO/IEC 27001 認證，提供 IaaS、PaaS、SaaS 或云解決方案服務(wù)。

CNLPQB_PIIC_01  作為PII處理者的公共云中的個人身份信息(PII)保護-要求-基于ISO/IEC 27018: 2025

ISO/IEC 27018:2025 信息安全、網(wǎng)絡(luò)安全和隱私保護-公有云中作為PII處理者的個人身份信息保護指南

一、具體內(nèi)容

步驟1 – 簽訂合同：SGS根據(jù)組織的規(guī)模及業(yè)務(wù)類型提供定制化的審核計劃。

步驟2 – 預(yù)審核：SGS提供可選擇的針對準備情況與薄弱環(huán)節(jié)的“預(yù)審”服務(wù)。

步驟3 – 正審第一階段：對組織建立的文件化體系及其他重要體系進行評估，提出不符合項。

步驟4 – 正審第二階段：現(xiàn)場審核，提出審核發(fā)現(xiàn)，審核合格后會簽發(fā)證書。

步驟5 – 監(jiān)督審核：根據(jù)合同，每半年或一年對體系和整改計劃的實施進行監(jiān)督審核。

步驟6 – 再認證：證書簽發(fā)3年期滿后，實施再認證審核。

二、圖示

1. 憑借在信息安全管理領(lǐng)域的專業(yè)服務(wù)和豐富經(jīng)驗，SGS能將ISO/IEC27017和ISO/IEC27018規(guī)范要求與ISO/IEC27001認證要求進行有效結(jié)合，幫你向客戶展示你自身的服務(wù)水平和能力，增強客戶信心。

2. 在全球范圍內(nèi)，SGS擁有龐大的審核團隊，其中大多數(shù)審核員擁有多標準資質(zhì)。這一龐大的多技能審核員隊伍意味著SGS能夠同時在世界不同的地點，處理多標準審核。這能夠加快合規(guī)保證過程，使您的項目無憂管理。

3. 作為國際公認的檢驗、鑒定、測試和認證機構(gòu)，SGS在IT信息安全領(lǐng)域解決方案范圍廣泛，并致力于為各行業(yè)機構(gòu)提供全方位管理提升服務(wù)。服務(wù)內(nèi)容包括：ISO/IEC27701、ISO/IEC29151、ISO/IEC27001、ISO/IEC20000、CSA STAR、ISO/IEC27017、ISO/IEC27018、ISO22301、GDPR等培訓(xùn)、認證和審核相關(guān)服務(wù)。

1、ISO22301認證
2、ISO/IEC27001信息安全管理體系認證
3、ISO/IEC20000認證
4、ISO/IEC27701
5、GDPR
6、CSA STAR
7、TISAX