ISO/IEC27018是什么哪些企业适合申请
ISO/IEC 27018是什么资质?
ISO/IEC 27018又称“云隐保护认证”,是由英国标准协会(BSI)制定,主要针对云服务商对云中个人数据的安全防护的国际标准认证,旨在为云个人身份信息处理者提供一套实务守则,以保护公共云中的个人身份信息(PII)不受侵犯,是目前国际上最权威、最严格、也是最被广泛接受和应用的信息安全体系认证。
哪些企业适合申请ISO/IEC 27018认证?
ISO27018认证适用于任何部门的大型或小型组织。
该标准特別适用于在云端环境中存储个人资料(例如工资单,HR或客户付款明细)的保护。现在,GDPR现已生效,对于组织而言,证明合规性并显示其如何保护数据(尤其是未存储在一个位置的数据)至关重要。
如果您的组织已经在实施ISO 27001 ISMS,则符合IS027001的70%规定。但是,如果使用的是基于云的技术,则IS0 27018被视为有效的附加标准,因为公司希望专门通过存储在云中的数据证明GDPR的合规性。
IS0 27001因为是最基础的规范,所以在进行IS0 27018之前,必须先经过基本的lS0 27001认证。
基于IS0 27001认证基础下,可以思考额外包含:
1、IS0 27018:如果公司预计提供云端服务,相关云端维运的安全控制措施;
2、从市场营销的观点来看,ISO 27001是可以获得一个认证,因此容易得到客户的认可;
3、从信息安全来看,1S0 27018更偏重于信息安全管制措施。
ISO/IEC 27018认证的好处有哪些?
1、激发对企业的信任一为客户和利益相关者提供更大的保证,即个人根据和信息受到保护;
2、竞争优势一通过最大限度地保护个人信息,在竞争对手中脱颖而出;
3、品牌保护一减少由于数据泄露而引起的不利宣传的风险;
4、降低风险一确保识别风险,并采取控制措施来管理或降低风险;
5、防止罚款一确保遵守当地法规,减少数据泄露的罚款风险;
6、发展业务一提供不同国家/地区的通用准则,使在全球开展业务变得更容易,并可以作为首选供应商。
ISO/IEC27040认证标准的内容
ISO/IEC 27040:2015概述和简介
ISO/IEC 27040:2015的目的是为存储系统和生态系统以及这些系统中的数据保护提供安全指导。 它支持ISO / IEC 27001中指定的通常概念。
ISO/IEC 27040:2015国际标准适用于组织内与信息安全风险管理有关的管理人员和员工,以及在适当情况下支持此类活动的外部各方。 本国际标准的目标是:
宣传风险,
协助组织更好地保护其数据,
为设计和审核存储安全控件提供基础。
ISO/IEC 27040:2015针对ISO/IEC 27002中描述的常规安全控制提供了与存储安全相关的特定,详细的实施指南。
ISO27040国际标准不是法规和法律安全要求的参考或规范性文件,由于它们会因国家/地区而异。
在华盛顿州雷德蒙市举行的SC27会议之后,于2010年秋季开始了关于ISO27040的工作。 该项目被安排在延长的时间表上,最多必须48个月来制定标准,而不是正常的36个月。 ISO / IEC 27040标准于2015年1月5日发布。
ISO27040包含七个简短条款和3个附件,内容包含:
1.标准范围
2.理解和使用ISO27040必不可少的其他标准清单
3.从其他标准引入或在本标准中定义的术语
4.标准中使用的缩写词和首字母缩略词的列表
5.关键存储和存储安全性概念概述以及相关风险信息
6.描述了支持存储安全技术体系结构的控件,包含直接附加存储(DAS),存储网络,存储管理,基于块的存储,基于文件的存储,基于对象的存储以及安全服务。
7.提供有关存储安全性设计和实施的指南(例如,设计原则;数据可靠性,可用性和弹性;数据保留;数据机密性和完整性;可视化;以及设计和实施常见问题)
附件A.特定于介质的消毒指南,包含加密擦除(与NIST SP 800-88r1相似)
附件B.根据数据敏感性或安全优先级(机密性,完整性或可用性)选择适当的安全控制的表
附件C.重要安全性和存储概念的描述(微型教程)