公有云中个人信息保护管理体系ISO 27018
ISO/IEC 27018 公有云中个人信息保护管理体系主要针对云服务商对云中个人数据和隐私的安全防护。该标准为云服务供应商如何处理个人可识别信息(PII)提供了指南,用以保护公共云中的个人身份信息(PII)不受侵犯。
1.认证流程
管理体系相关认证的流程基本一致,一般包括:提交申请;受理申请;初审(第一阶段审核/文件审核,第二阶段审核/现场审核);认证决定和批准注册;颁发认证证书;证后每年的监督审核;证书三年有效期期满后的再认证等环节。
2.申请条件
组织申请认证应具备以下基本条件:
(1)取得国家、地方市场监督管理部门或有关机构注册登记的法人资格(或其组成部分);
(2)已取得相关法规规定的行政许可(适用时);
(3)未列入严重违法失信名单;
(4)按照标准的要求建立文件化的公有云中个人信息保护管理体系;
(5)已经按照文件化的体系运行三个月以上,并在进行认证审核前按照文件的要求进行了至少一次管理评审和内部审核。
(6)申请组织应已经建立信息安全管理体系,且通过了ISO 27001认证或准备同时申请ISO 27001认证。
3.提交资料
申请组织提交以下文件和资料:
(1)认证申请书;
(2)取得国家、地方市场监督管理部门或有关机构注册登记的法人资格(或其组成部分);
(3)已取得相关法规规定的行政许可(适用时);
(4)未列入严重违法失信名单;
(5)符合相关要求的法律法规清单;
(6)支持公有云中个人信息保护管理体系的规程和控制措施;
4.认证收费
(1)认证的费用包括:合同签订费用+审核员的差旅和食宿费、证书费等。
(2)具体报价多少要看评审工作的复杂程度等因素进行核算。如:初评、监督、复评与扩大认可领域、扩大业务领域、扩大业务范围和增加关键场所的文件审查、现场评审、见证评审、不符合验证等评审活动所发生的费用等。
5.证书样本
