ISO/IEC 27018 是首个专注于公有云个人数据(PII)保护的国际行为准则(Code of Practice),它建立在 ISO/IEC 27001 信息安全管理体系之上,为公有云服务提供商(CSP)如何遵守全球隐私法规(尤其是 GDPR)提供了具体控制措施。
✅ 一、适用范围(Who & What)
| 维度 | 说明 |
|---|---|
| 组织类型 | 任何运营公有云服务的提供商(IaaS / PaaS / SaaS),无论规模、国家。 |
| 数据类型 | 以个人身份信息(PII)为主的公有云处理活动, - 客户上传的终端用户数据 - 客户自身员工数据 - 多租户环境下的交叉数据 |
| 不适用场景 | 私有云、社区云、内部部署系统、非云环境。 |
注意:ISO 27018 不能单独认证,必须作为 ISO 27001 认证的扩展(即“27001+27018”联合审核)。
微信号:15321396264
添加微信好友, 获取更多信息
复制微信号
✅ 二、认证流程与需提交的核心材料
| 阶段 | 关键交付物 / 材料清单 | 备注 |
|---|---|---|
| 差距分析 | 自评表 / 差距分析报告 | 可选,但强烈建议先做。 |
| 体系文件 | 云隐私方针(与 27001 方针融合) 适用性声明(SoA)中明确列出 ISO 27018 附录 A 的控制措施 风险评估报告(需覆盖 PII 处理风险) 支持性程序: • PII 访问授权与撤销程序 • 数据删除/返还程序(含保留期表) • 数据泄露通知程序(≤ 72 h) • 子处理商管理程序(含尽职调查表) • 客户告知模板(数据存放地、分包商清单) • 员工隐私培训材料与签到记录 |
所有文件需版本化、受控、可追踪。 |
| 运行证据 | 日志/截屏: • 控制台中客户可自助删除/导出 PII 的界面 • 数据地理位置配置界面 记录: • 3 个月的数据删除工单 • 子处理商清单更新记录 • 事件/泄露登记台账 培训与内审: • 隐私专项培训记录(含考核分数) • 27018 条款内审报告 & 不符合项整改表 |
审核员会抽样云租户验证控制有效性。 |
| 认证申请 | 《认证申请表》(CB 提供模板) 法律地位证明(营业执照) 云服务描述(服务目录、部署模型、数据中心清单) 客户合同样本(含 DPA 条款) 子处理商清单(含处理目的、所在地) |
所有材料需英文或审核员可接受语言。 |
| 现场审核 | 与 27001 同时进行的“增项”审核,人天增加约 0.5–1 天/现场。 | 审核报告需单独列出 27018 符合性声明。 |
✅ 三、快速 Checklist(提交前自检)
- [ ] 27001 证书已拿到或同时申请?
- [ ] SoA 中 27018 附录 A 的 25 项控制全部列明并逐条解释“如何实施”?
- [ ] 客户协议 / DPA 中是否写明“数据返还/删除时限”及“子处理商变更通知时限”?
- [ ] 能否现场演示:客户一键导出/删除 PII 的功能?
- [ ] 12 个月内无重大数据泄露或监管罚款?
- [ ] 子处理商是否均签署 GDPR 级别 DPA,并留存尽职调查证据?
✅ 四、常见踩坑
| 坑点 | 建议 |
|---|---|
| 把 27018 当成“独立标准”去申请 | 必须基于已认证或同步认证的 27001 范围。 |
| 只写“我们符合 GDPR” | 审核员要看到映射到 27018 具体条款的证据。 |
| 忘记更新子处理商清单 | 证书有效期内每次变更都需通知客户与审核机构。 |
| 删除流程只有“逻辑删除” | 需证明物理/加密擦除或不可逆匿名化。 |
✅ 五、下一步
- 先确认贵司云服务模式是否属于“公有云”。
- 用 ISO 27018:2019 附录 A 的 25 项控制做一次快速 Gap Analysis(可私信我索要 Excel 模板)。
- 把上述材料打包成“增项包”提交给现有 27001 的认证机构(CB),走“扩项”流程即可。
如需模板(SoA 扩展示例、DPA 条款范本、删除流程 SOP),请告诉我,我可以提供脱敏版本。
以上是对“ISO27018认证的适用范围有哪些需要提交哪些材料”的简单介绍,如果您有任何疑问,可以添加我们微信或者拨打电话:15321396264,免费咨询,专人1对1解答,北京壹点壹线咨询有限公司专业办理增值电信业务经营许可证、网络文化经营许可证、工商注册、知识产权等一站式企业服务平台,竭诚为您服务。