ISO/IEC 27018 认证概述

用于保护公共云中个人可识别信息(PII)的信息安全控制认证

用于保护公共云中个人可识别信息(PII)的信息安全控制认证

认证:

管理体系认证/自愿性评估

认证基础:

国际标准ISO/IEC 27018

标准所有者: 

ISO国际标准化组织

ISO/IEC 27018标准如何规定的?

ISO/IEC 27018标准规定了作为PII处理者的公共云中保护个人身份信息(PII)准则。

TÜV SÜD SOUTH ASIA PVT. LTD. 对ISO/IEC 27018的“认证”和/或颁发的认证标志是什么?

  • 客户已根据规定的标准(认证标准)提交自愿性评估(审核)。
  • 只有在评估(审核)没有发现任何与相关标准要求不一致的重大问题时,才会颁发证书和/或授权使用认证标志。
  • 证书和/或认证标志具有有效期限。相关方可在证书数据库中查询各个证书的有效时限。
  • 为了保持证书的有效性,证书持有者必须完成并成功通过年度监督评估(审核)。
  • ISO/IEC 27018的证书有效性应与ISO/IEC 27001证书保持一致。

如何进行评估/审核?

独立、合格的专家(审核员)依据以下审核技术来进行审核:

  • 文件审查:
    - 审查客户准备的体系文件记录。
    - 评估组织的位置、场所的数量和特征状况。
    - 审查客户的状况和对标准要求的理解。
    - 收集、评估、核实有关范围、管理审查、流程和相互作用、组织目标、相关法定和监管方面、内部审计、业绩数据和相关风险的信息。 
    - 审查符合性评估/审计的资源分配,并与客户商定审核细节。 
    - 通过充分了解客户的管理体系和现场操作中可能出现的重要方面,确保策划得宜。 
    - 该审核应确定可能影响后续符合性评估/审核的问题。
  • 现场核查:
    - 在文件记录方面的体系有效性
    - 严重问题和偏差的数量 
    - 投诉处理机制 
    - 管理层的承诺
    - 完全不符合标准的一个要素
    - 关注到的偏差对控制效果的影响

哪些内容超出ISO/IEC 27018认证范围?

  • 适用于所有管理体系认证: 本认证不构成产品认证。因此,认证不提供任何关于认证客户的产品或服务质量的直接声明。
  • 认证依据ISO/IEC 27018并不意味着该公司生产的产品或提供的服务质量更高。
  • 认证依据ISO/IEC 27018是为保护公共云中的PII而定义的安全技术的关键目标,但是认证并不意味着公司在公共云中保护PII的信息安全控制措施/信息/数据不能丢失、不能被非法篡改或在不适当的时候被非预期访问。
  • 认证并不能确保公司为保护公共云中的PII而采取的信息安全控制的技术和组织措施没有错误运作。

更多

LinkedIn WeChat WeChat

Site Selector