哪些行业需要ISO27018认证?
ISO 27018认证适用于任何部门的大型或小型组织。 该标准特别适用于在云端环境中存储个人资料的保护。 现在,GDPR现已生效,对于组织而言,证明合规性并显示其如何保护数据(尤其是未存储在一个位置的数据)至关重要。
如果您的组织已经在实施ISO 27001 ISMS,则符合ISO 27001的70%规定。但是,如果您使用的是基于云的技术,则ISO 27018被视为有效的附加标准,因为公司希望专门通过存储在云中的数据证明GDPR的合规性
ISO 27018:2019提供了实施准则的准则,该准则应遵循公共云计算环境的隐私原则实施保护个人身份信息(PII)的措施,同时考虑到保护PII的法规要求,这些要求可在以下情况下适用:公共云服务提供商的信息安全风险环境。
ISO 27018与在云中存储隐私敏感数据的组织有关
此附加组件为14个现有的 ISO 27001 Annex A控件提供了实施指南。
紧接着,添加了以下25个新控件:
授权将物理媒体带到异地
可以访问个人数据的个人的保密协议
删除分配给其他客户的存储中的数据
删除临时文件
销毁带有个人数据的印刷媒体
禁用过期的用户标识的使用
披露有关用于处理个人数据的所有分包商的信息
向云客户公开数据将存储在哪个国家/地区
云策略和过程的文档管理
加密通过公共网络传输的数据
确保数据到达目的地
不将数据用于营销和广告
发生数据泄露时通知客户
要求披露数据时通知客户
返还,转移和处置个人数据的政策
数据还原步骤
仅出于客户证明数据目的的目的处理数据
记录个人数据的所有披露
用户访问云的记录
打印个人数据的限制
限制使用不具有加密功能的媒体
客户访问和删除数据的权利
在与客户和分包商的合同中指定最低安全控制
云客户使用唯一ID
为什么需要 ISO 27018 ?
在采用 ISO/IEC 27018之前 ,还没有国际标准定义一套被业界和监管机构认为适合在云中处理个人信息的控制和最佳实践。 通过提供统一且被广泛接受的实践标准,ISO 27018可以帮助实现适当且一致的服务水平。 我们乐观地认为,ISO 27018可以作为监管机构和客户的模板,他们希望在各个地区和垂直行业中确保强有力的隐私保护 。
