云公司可以通过ISO27018认证来征服GDPR
在进入GDPR后的世界将近一年,对于许多云服务提供商来说,问题仍然是:“我如何证明GDPR符合性?”由于没有有意义的认证,现在是时候让云服务提供商主动展示如何他们根据GDPR保护客户数据。
作为正在进行的尽职调查程序的一部分,去年,至少有25%的潜在客户需要GDPR合规性,而15%的客户需要ISO 27001认证。
根据我们的经验,ISO 27018正在迅速成为云服务提供商合规性要求的一部分。 ISO 27018是对云服务提供商的ISO 27001(即,适用声明中的ISO 27018控件已添加到ISO 27001信息安全管理系统)的“附加”标准。
ISO 27018包含两个部分:
ISO 27001附件A控件,针对某些领域的云处理器提供了具体指南;
附件A,基于ISO 29100隐私权原则的另一套控件。
ISO 27018与GDPR之间的重叠存在于许多关键领域,包括但不限于:
事件响应
加密
选择和同意(数据收集措施)
数据主体访问权限
确定加工目的
数据最小化
子处理器的安全标准
当然,ISO 27018控件未提供对GDPR要求的完整映射。 例如,ISO 27018并未解决GDPR的重要内容,例如设计上的隐私,定义数据处理的合法依据或维护所有处理活动的记录。 因此,应将ISO 27018控件视为现成的但尚不完整的控件基础,以开始证明GDPR符合性。 可以针对您的组织制定进一步的控制措施,以解决剩余的GDPR要素。
取得ISO 27018认证可以是一种主动的方式来证明云服务提供商已经在执行GDPR合规性措施。 此外,相关的ISO 27001认证清楚地表明组织已经实施了GDPR下所有处理器所要求的安全标准。 因此,追求ISO 27001认证并增加ISO 27018控件可以轻松证明对安全性和隐私性的承诺,使潜在客户感到舒适,并最终使销售周期更加顺畅。
