ISO/IEC 27018:2014是一项国际标准,专为公共云服务提供商(PISP)提供个人数据保护的指南。该标准在ISO/IEC 27001和ISO/IEC 27002的基础上,为公共云服务提供商处理个人数据提供了特定的控制和指南。
ISO/IEC 27018的核心内容是一套专门针对公共云服务供应商处理个人数据的控制和指南。这些控制和指南旨在帮助公共云服务供应商更有效地保护个人数据的隐私。
1、数据保护控制:这些控制项覆盖了个人数据在公共云环境中的处理活动,包括收集、使用、存储、传输和删除等。
2、合同和协议:该标准提供了关于公共云服务供应商与客户之间合同和协议的指南,强调了明确数据处理责任和义务的重要性。
3、审计和账户能力:标准强调了审计和账户能力的重要性,以确保公共云服务供应商对个人数据的处理是透明的,并能满足法规要求。
ISO/IEC 27018主要适用于公共云服务供应商,特别是那些处理个人数据的供应商。这包括但不限于:
1、云存储服务供应商
2、云计算服务供应商
3、云应用服务供应商
ISO/IEC 27018所需材料
1、个人数据保护政策:这是一份文档,概述了组织对个人数据保护的整体策略和承诺。
2、风险评估报告:组织需要进行风险评估,识别和评估与公共云服务相关的个人数据保护风险。
3、风险处理计划:基于风险评估结果,组织需要制定风险处理计划,明确如何管理和减少这些风险。
4、控制实施文档:这些文档应详细描述组织如何实施ISO/IEC 27018中的个人数据保护控制。
5、合同和协议:组织应提供其与客户之间的合同和协议的副本,这些合同和协议应明确规定了数据处理的责任和义务。
6、员工培训材料:组织需要提供证明其已对员工进行了关于个人数据保护和公共云服务使用的适当培训的证据。
7、审计和监控记录:组织需要定期审计和监控其个人数据保护控制的有效性,并保留相关记录。
8、持续改进的证据:组织需要提供证据,证明其正在持续改进其信息安全管理体系(ISMS)。
问: ISO/IEC 27018和ISO/IEC 27001有什么区别?
答: ISO/IEC 27001是信息安全管理系统(ISMS)的通用标准,适用于所有类型的组织。而ISO/IEC 27018是在其基础上,为公共云服务提供商处理个人数据提供的特定指南。
问: 如何实施ISO/IEC 27018?
答: 实施ISO/IEC 27018首先需要了解和评估组织对个人数据的处理方式,然后根据标准的要求制定和实施个人数据保护政策和控制。可能还需要进行员工培训,以确保他们了解和遵守这些政策和控制。
问: ISO/IEC 27018需要进行审计吗?
答: 是的,为了确保持续符合ISO/IEC 27018的要求,组织需要定期进行内部和外部审计。外部审计通常由独立的认证机构进行,以确认组织满足标准的要求。
出证后付尾款,不成功不收费
每张证书信息,均有认监委备案
所有认证项目,承诺当天申报
泽林承诺,无隐形收费
