近期，針對人民群眾反映強烈的App非法獲取、超范圍收集、過度索權(quán)等侵害個人信息的現(xiàn)象，國家互聯(lián)網(wǎng)信息辦公室依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》等法律和有關(guān)規(guī)定，組織對安全管理、網(wǎng)絡(luò)借貸等App檢測。發(fā)現(xiàn)包括騰訊手機管家、360手機衛(wèi)士、滴滴金融等84款A(yù)pp在列存在問題。
 
由此看出，在信息網(wǎng)絡(luò)、大數(shù)據(jù)時代下，針對個人隱私的保護比以往任何時候都重要。鑒于最近發(fā)生的多起破壞用戶數(shù)據(jù)的違規(guī)行為，對于云提供商來說，確保消費者信息的安全性成了發(fā)展第一要務(wù)。作為目前國際公認的云個人信息保護的最佳實踐，ISO27018已得到諸多跨國云服務(wù)提供商和使用者的認可和采納。今天就讓我們來了解一下！

01、什么是ISO 27018認證？

要申請這項認證，要先知道最基本的情況，這對以后的現(xiàn)場審核也有幫助。

ISO/IEC27018標(biāo)準(zhǔn)是一個主要針對保護云計算中個人數(shù)據(jù)安全的國際標(biāo)準(zhǔn)。而且，ISO/IEC 27018管理體系（以下簡稱：CPIISMS）是基于ISO27001信息安全管理體系（以下簡稱：ISMS）擴展的管理體系。

CPIISMS 對ISMS 附錄A 擴展的要求有兩個方面：

一是在原有的ISMS 標(biāo)準(zhǔn)的附錄A 中114 控制條款延展了15%的要求，主要對在公有云中PII 的處理者保護PII 提出了額外的控制要求，并將控制要求更具體化；

二是在ISMS 標(biāo)準(zhǔn)附錄A 中的114 個控制條款基礎(chǔ)上，根據(jù)ISO/IEC 29100 的11 個隱私原則增加了11 個CPIISMS 特定的PII 保護附加控制條款。

02、ISO27018認證的適用范圍
ISO27018認證適用于各個行業(yè)類別，只要從事信息領(lǐng)域服務(wù)的任何大型或小型組織都可以申請認證。
不一定非要從事互聯(lián)網(wǎng)，其他行業(yè)也可以適用。下表就是關(guān)于ISO27018認證的分類：

大類	中類	類別說明
01政務(wù)	01.01	其他
	01.02	國家機構(gòu)/稅務(wù)機關(guān)/海關(guān)
02公共	02.01	低科研/社會保障/醫(yī)療服務(wù)/教育/其他
	02.02	通信、廣播電視/新聞出版
03商務(wù)	03.01	咨詢中介/旅游、賓館、飯店/其他
	03.02	金融/電子商務(wù)/物流
04產(chǎn)品的生產(chǎn)	04.01	交通運輸/信息與通信技術(shù)/冶金/采礦/食品、 藥品、煙草/農(nóng)、林、牧、副、漁業(yè)/其他
	04.02	電力/鐵路/民航/化工/航空航天/水利

由上表看出，ISO27018認證適用于大多數(shù)行業(yè)。

 
03、申請ISO27018認證的前提條件
申請ISO27018認證當(dāng)然有條件。請看：

1、公有云中個人可識別信息保護管理體系（CPIISMS）是在ISO/IEC 27001:2013 信息安全管理體系的基礎(chǔ)上建立、實施和擴展的，ISMS 是CPIISMS 的基礎(chǔ)和前提條件。申請CPIISMS 的組織應(yīng)已經(jīng)建立信息安全管理體系，且通過了ISMS 認證或準(zhǔn)備同時申請ISMS 認證。

2、申請的CPIISMS認證范圍需不大于組織的ISMS的認證范圍，超出的認證范圍必須先安排對其ISMS實施專項擴大審核后，再安排CPIISMS 的審核。

04、申請ISO27018認證需提供的資料
申請認證提供的資料如下：
1） 基本資料（營業(yè)執(zhí)照、行政許可（如有）、臨時場所清單等）
2） 有效的ISMS 認證證書或ISMS 認證申請
3） 支持公有云中個人可識別信息保護管理體系的規(guī)程和控制措施；
4） 隱私影響評估報告（含隱私影響評估方法的描述）；
5） 適用性聲明；
6） 適用的法律法規(guī)的標(biāo)準(zhǔn)的清單；
7） 《管理體系認證申請書》中的具體事項；
注意：如申請過程中還需要其他材料，請與我司的業(yè)務(wù)同事溝通清楚，提前準(zhǔn)備。

05、申請ISO27018認證的其他注意事項
申請ISO27018還要知道：
1、通常情況下認證的證書有效期為三年；
2、若貴司的ISMS 的認證證書暫停或撤銷時，CPIISMS 認證證書會同時進行暫?；虺蜂N。
 
06、新世紀(jì)擁有多個信息領(lǐng)域相關(guān)認證
作為一家大型國際認證機構(gòu)，新世紀(jì)檢驗認證有限責(zé)任公司（簡稱 BCC）在信息安全領(lǐng)域擁有完善的服務(wù)體系和豐富的服務(wù)經(jīng)驗。
BCC可以提供包括：
ISO/IEC 20000  IT服務(wù)管理體系
ISO/IEC 27001  信息安全管理體系
ISO/IEC 27701  隱私信息管理體系
ISO/IEC 27017  云服務(wù)信息安全管理體系
ISO/IEC 27018  公有云個人信息保護管理體系
ISO 22301  業(yè)務(wù)連續(xù)性管理體系