认证:
管理体系认证/自愿性评估
认证基础:
国际标准ISO/IEC 27018
标准所有者:
ISO国际标准化组织
ISO/IEC 27018标准如何规定的?
该ISO/IEC 27018标准规定了作为PII处理者的公共云中保护个人身份信息(PII)准则。
TÜV SÜD SOUTH ASIA PVT. LTD. 对ISO/IEC 27018的“认证”和/或颁发的认证标志是什么?
- 客户已根据规定的标准(认证标准)提交自愿性评估(审核)。
- 只有在评估(审核)没有发现任何与相关标准要求不一致的重大问题时,才会颁发证书和/或授权使用认证标志。
- 证书和/或认证标志具有有效期限。相关方可在证书数据库中查询各个证书的有效时限。
- 为了保持证书的有效性,证书持有者必须完成并成功通过年度监督评估(审核)。
- ISO/IEC 27018的证书有效性应与ISO/IEC 27001证书保持一致。
如何进行评估/审核?
独立、合格的专家(审核员)依据以下审核技术来进行审核:
- 文件审查:
- 审查客户准备的体系文件记录。
- 评估组织的位置、场所的数量和特征状况。
- 审查客户的状况和对标准要求的理解。
- 收集、评估、核实有关范围、管理审查、流程和相互作用、组织目标、相关法定和监管方面、内部审计、业绩数据和相关风险的信息。
- 审查符合性评估/审计的资源分配,并与客户商定审核细节。
- 通过充分了解客户的管理体系和现场操作中可能出现的重要方面,确保策划得宜。
- 该审核应确定可能影响后续符合性评估/审核的问题。
- 现场核查:
- 在文件记录方面的体系有效性
- 严重问题和偏差的数量
- 投诉处理机制
- 管理层的承诺
- 完全不符合标准的一个要素
- 关注到的偏差对控制效果的影响
哪些内容超出ISO/IEC 27018认证范围?
- 适用于所有管理体系认证: 本认证不构成产品认证。因此,认证不提供任何关于认证客户的产品或服务质量的直接声明。
- 认证依据ISO/IEC 27018并不意味着该公司生产的产品或提供的服务质量更高。
- 认证依据ISO/IEC 27018是为保护公共云中的PII而定义的安全技术的关键目标,但是认证并不意味着公司在公共云中保护PII的信息安全控制措施/信息/数据不能丢失、不能被非法篡改或在不适当的时候被非预期访问。
- 认证并不能确保公司为保护公共云中的PII而采取的信息安全控制的技术和组织措施没有错误运作。
