01?ISO27018認(rèn)證適用于哪些組織

ISO27018認(rèn)證的適用范圍：ISO27018認(rèn)證適用于任何部門(mén)的大型或小型組織。

該標(biāo)準(zhǔn)特別適用于在云端環(huán)境中存儲(chǔ)個(gè)人資料的保護(hù)?，F(xiàn)在, GDPR現(xiàn)已生效,對(duì)于組織而言,證明合規(guī)性并顯示其如何保護(hù)數(shù)據(jù)(尤其是未存儲(chǔ) 在一個(gè)位置的數(shù)據(jù))至關(guān)重要。如果您的企業(yè)已經(jīng)在實(shí)施ISO 27001ISMS ,則符合ISO27001的70%規(guī)定。但是，如果您使用的是基于云的技術(shù)，則ISO 27018被視為有效的附加標(biāo)準(zhǔn), 因?yàn)楣鞠Ｍ麑ｉT(mén)通過(guò)存儲(chǔ)在云中的數(shù)據(jù)證明 GDPR的合規(guī)性。ISO27018 : 2019提供了實(shí)施準(zhǔn)則的準(zhǔn)則,該準(zhǔn)則應(yīng)遵循公共云計(jì)算環(huán)境的隱私原則實(shí)施保護(hù)個(gè)人 身份信息(PII)的措施，同時(shí)考慮到保護(hù)PII的法規(guī)要求，這些要求可在以下情況下適用：公共云服務(wù)提供商的信息安全風(fēng)險(xiǎn)環(huán)境。

02 ISO27018認(rèn)證申報(bào)條件

1、ISO27018認(rèn)證是在ISO27001信息安全管理體系的基礎(chǔ)上建立、實(shí)施和擴(kuò)展的, ISO27001是ISO27018認(rèn)證的基礎(chǔ)和前提條件。申請(qǐng)ISO27018認(rèn)證的組織應(yīng)已經(jīng)建立信息安全管理體系,且通過(guò)了ISO27001認(rèn)證或準(zhǔn)備同時(shí)申請(qǐng)ISO27001認(rèn)證。

2、申請(qǐng)的ISO27018認(rèn)證范圍不能大于組織的ISO27001覆蓋范圍,超出的認(rèn)證范圍必須先安排對(duì)其ISO27001實(shí)施專項(xiàng)擴(kuò)大審核后,再安排ISO27018的審核。

03?申報(bào)ISO27018基本資料

1.企業(yè)資質(zhì)文件(營(yíng)業(yè)執(zhí)照、行政許可(如有)等，公司成立3個(gè)月以上)

2.有效的ISO27001認(rèn)證證書(shū)或ISO27001認(rèn)證申請(qǐng)

3.支持公有云中個(gè)人可識(shí)別信息保護(hù)管理體系的規(guī)程和控制措施

4.隱私影響評(píng)估報(bào)告(含隱私影響評(píng)估方法的描述)

5.適用性聲明

6.適用的法律法規(guī)及標(biāo)準(zhǔn)清單

7.體系文件等

04??申請(qǐng)ISO27018的主要流程

1、編寫(xiě)體系文件、記錄

2、依據(jù)提供的資料清單，準(zhǔn)備項(xiàng)目實(shí)施、運(yùn)營(yíng)文檔

3、根據(jù)貴司識(shí)別信息資產(chǎn)，編寫(xiě)風(fēng)險(xiǎn)評(píng)估資料

4、檢查資料完備性，雙方補(bǔ)充資料記錄

5、現(xiàn)場(chǎng)審核、不符合整改、發(fā)證