體系認證:企業必備資質
管理體系是從質量管理的概念發展起來的,并傳承了質量管理的精華。過程方法、PDCA循環,風險思維等管理理念在管理體系中得到了充分體現。一個組織針對某個特定領域管理的深度和廣度,會依據自身的需求來確定。當需要對一個特定領域實施系統化管理時,組織若按照一個特定管理體系標準的要求實施管理,這無疑是一種全面、有效和高效的選擇。
體系認證
公有云中個人可識別信息保護管理體系
在信息網絡、大數據時代下,針對個人隱私的保護真的非常重要,對于云提供商來說,確保消費者信息的安全性也成了發展第一要務。作為目前國際公認的云個人信息保護的最佳實踐,ISO 27018已得到諸多跨國云服務提供商和使用者的認可和采納。
ISO 27018標準是一個主要針對保護云計算中個人數據安全的國際標準,是基于ISO 27001信息安全管理體系擴展的管理體系。
ISO 27018認證的好處:
1)激發對組織的信任:為客戶和利益相關者提供更大的保證,即個人根據和信息受到保護。
2)競爭優勢:通過最大限度地保護個人可識別信息,在競爭對手中脫穎而出。
3)品牌保護:減少由于數據泄露而引起的不利宜傳的風險。
4)降低風險:確保識別風險,并采取控制措施來管理或降低風險。
5)防止罰款:確保遵守當地法規,減少數據泄露的罰款風險。
6)發展業務:提供不同國家/地區的通用準則,使在全球開展業務變得更容易,并可以作為首選供應商。
ISO 27018認證適用于各個行業類別,只要從事信息領域服務的任何大型或小型組織都可以申請認證。不一定非要從事互聯網,其他行業也可以適用。
ISO 27018管理體系認證是目前國際上最權威、最嚴格、也是最被廣泛接受和應用的信息安全體系認證。
申請條件
該管理體系是在ISO 27001信息安全管理體系的基礎上建立、實施和擴展的,ISO 27001是申請認證的基礎和前提條件。申請組織應已經建立信息安全管理體系,且通過了ISO 27001認證或準備同時申請ISO 27001認證。
資料清單
公司資質;
體系文件(一級和二級文件,至少包含SOA文件和程序文件);
包含CPIISMS特殊要求的信息安全風險評估資料(至少有風險評估計劃、風險處置計劃和殘余風險報告);
適用CPIISMS要求的法律法規清單;
支持公有云中個人可識別信息保護管理體系的規程和控制措施;
隱私影響評估報告(含隱私影響評估方法的描述);
隱私風險處理計劃;
風險評估報告(含風險評估方法的描述);
殘余風險報告;
風險處置計劃。