ISO/IEC 27018:2019 是由英国标准协会（BSI）制定的，专注于保护公共云中个人可识别信息（PII）的国际标准，又称 “云隐保护认证”。以下是其详细介绍：

概述

适用范围

主要内容

• 数据处理的目的和方式：云服务提供商应明确规定个人数据的处理目的和方式，且只能根据用户授权进行数据处理。

• 个人数据的保留时间：应明确规定个人数据的保留时间，达到保留期限后，及时删除或者匿名化个人数据。

• 个人数据的披露和共享：明确规定个人数据的披露和共享要求，未经用户授权，不得披露或共享个人数据。

• 个人数据的安全措施：采取一系列技术和组织措施，保护个人数据安全，防止数据泄露、篡改和丢失。

• 用户的权利和选择：确保用户能够行使自己的权利，包括访问、更正、删除和限制处理个人数据的权利。

认证价值

• 激发信任：为客户和利益相关者提供更大保证，使其相信个人数据和信息受到保护。

• 增强竞争力：通过最大限度保护个人信息，在竞争对手中脱颖而出。

• 保护品牌：减少因数据泄露而引起的不利宣传风险，保护企业品牌形象。

• 降低风险：确保识别风险，并采取控制措施来管理或降低风险。

• 避免罚款：确保遵守当地法规，减少数据泄露的罚款风险。

• 助力业务发展：提供不同国家 / 地区的通用准则，使企业在全球开展业务变得更容易。

认证流程1

• 初步评估：企业对自身信息安全管理体系进行评估，确定是否达到标准要求，可聘请专业咨询公司辅导搭建体系。

• 选择认证机构：选择在中国拥有 ISO 27018 认证资质的国际公认第三方认证机构，如 BSI、TÜV 等。

• 文件准备：准备信息安全管理政策、数据处理协议、风险评估报告等相关文件。

• 正式申请：向选定的认证机构提交包含企业基本信息、业务概述、认证范围等内容的申请表。

• 审核阶段：认证机构安排审核员进行初审和现场审核，初审审查文件，现场审核评估实际操作情况。

• 审核结果：通过审核后，认证机构出具认证证书；若有问题，企业需整改并提交整改报告。

• 证书维护：认证证书有效期一般为三年，期间认证机构定期进行年度监督审核，企业若未通过，可能面临证书撤销风险。

申请条件

• 企业需持有工商行政管理部门颁发的《企业法人营业执照》等有效资质文件。

• 按照有效标准（ISO/IEC 27018）的要求在组织内建立公有云中个人可识别信息保护体系，并实施运行至少 3 个月以上。

• 至少完成一次内部审核，并进行了有效的管理评审。

• 管理体系运行期间及申请前的一年内未受到主管部门行政处罚。

认证材料

• 基本资料，如营业执照、行政许可（如有）、临时场所清单等。

• 有效的 ISMS 认证证书或 ISMS 认证申请。

• 支持公有云中个人可识别信息保护管理体系的规程和控制措施。

• 隐私影响评估报告（含隐私影响评估方法的描述）。

• 适用性声明。

• 适用的法律法规的标准的清单。

• 《管理体系认证申请书》中的具体事项。