ISO27018公有云个人可识别信息保护认证

【参考官网：中国认证认可监督委员会http://www.cnca.gov.cn/】

ISO/IEC 27018公有云个人信息保护国际认证（又称“云隐私保护认证”）主要针对云服务商对云中个人数据和隐私的安全防护的标准认证。为云服务供应商如何处理个人可识别信息(PII)的企业提供了指南，用以保护公共云中的个人身份信息（PII）不受侵犯，是目前国际上最权威、最严格、也是最被广泛接受和应用的信息安全体系认证

ISO/IEC 27018能够确保云服务供应商在处理PII方面有着适当的程序。它还可以帮助制定更强的云服务协议。该标准就PII的问题规定了CSPS如何培训员工，需要什么文件程序，并提供了相应的指导方针。ISO/IEC 27018旨在为云服务客户提供真正的透明度，以便客户能够清楚了解云服务供应商商在保护和保护个人数据方面所做的事情。

ISO/IEC27018标准是一个主要针对保护云计算中个人数据安全的国际标准。而且，ISO/IEC 27018管理体系（CPIISMS）是基于ISO27001信息安全管理体系（ISMS）扩展的管理体系。CPIISMS 对ISMS 附录A 扩展的要求有两个方面：

(1)在原有的ISMS 标准的附录A 中114 控制条款延展了15%的要求，主要对在公有云中PII 的处理者保护PII 提出了额外的控制要求，并将控制要求更具体化；

(2)在ISMS 标准附录A 中的114 个控制条款基础上，根据ISO/IEC 29100 的11个隐私原则增加了11个CPIISMS 特定的PII 保护附加控制条款。

扩展主要体现在以下几点：

1、在存储和任何可移动的物理介质中，对PII进行加密的要求；

2、一旦数据不再需要，在指定的时间内删除PII；

3、符合云服务协议中明文规定的目的时，才进行PII处理；

4、如法规所明文规定，在处理PII原则的权利问题上，可检查和纠正PII

申报必备条件

1）企业需持有工商行政管理部门颁发的《企业法人营业执照》等有效资质文件；

2）申请方应按照有效标准（ISO/IEC 27018）的要求在组织内建立公有云中个人可识别信息保护体系，并实施运行至少3个月以上；

3）至少完成一次内部审核，并进行了有效的管理评审；

4）管理体系运行期间及申请前的一年内未受到主管部门行政处罚。

（备注：以上内容仅供参考，如未详尽或有更新，均以具体官方发布为准。）