申请ISO27018公有云中个人可识别信息保护管理体系认证的主要流程

01 ISO27018认证适用于哪些组织

ISO27018认证的适用范围：ISO27018认证适用于任何部门的大型或小型组织。

该标准特别适用于在云端环境中存储个人资料的保护。现在, GDPR现已生效,对于组织而言,证明合规性并显示其如何保护数据(尤其是未存储 在一个位置的数据)至关重要。如果您的企业已经在实施ISO 27001ISMS ,则符合ISO27001的70%规定。但是，如果您使用的是基于云的技术，则ISO 27018被视为有效的附加标准, 因为公司希望专门通过存储在云中的数据证明 GDPR的合规性。ISO27018 : 2019提供了实施准则的准则,该准则应遵循公共云计算环境的隐私原则实施保护个人 身份信息(PII)的措施，同时考虑到保护PII的法规要求，这些要求可在以下情况下适用：公共云服务提供商的信息安全风险环境。

02 ISO27018认证申报条件

1、ISO27018认证是在ISO27001信息安全管理体系的基础上建立、实施和扩展的, ISO27001是ISO27018认证的基础和前提条件。申请ISO27018认证的组织应已经建立信息安全管理体系,且通过了ISO27001认证或准备同时申请ISO27001认证。

2、申请的ISO27018认证范围不能大于组织的ISO27001覆盖范围,超出的认证范围必须先安排对其ISO27001实施专项扩大审核后,再安排ISO27018的审核。

03 申报ISO27018基本资料

1.企业资质文件(营业执照、行政许可(如有)等，公司成立3个月以上)

2.有效的ISO27001认证证书或ISO27001认证申请

3.支持公有云中个人可识别信息保护管理体系的规程和控制措施

4.隐私影响评估报告(含隐私影响评估方法的描述)

5.适用性声明

6.适用的法律法规及标准清单

7.体系文件等

04  申请ISO27018的主要流程

1、编写体系文件、记录

2、依据提供的资料清单，准备项目实施、运营文档

3、根据贵司识别信息资产，编写风险评估资料

4、检查资料完备性，双方补充资料记录

5、现场审核、不符合整改、发证