云公司也可以通过ISO27018认证来征服GDPR
发布时间:2020-10-27 作者:广汇联合 来源:广汇联合
在进入GDPR后的世界将近一年,对于许多云服务提供商来说,问题仍然是:“我如何证明GDPR符合性?”由于没有有意义的认证,现在是时候让云服务提供商主动展示如何他们根据GDPR保护客户数据。
作为正在进行的尽职调查程序的一部分,去年至少有25%的潜在客户需要GDPR合规性,而15%的客户需要ISO27001认证。
根据我们以往的工作经验,ISO27018正在迅速成为云服务提供商合规性要求的一部分。ISO27018是对云服务提供商的ISO27001(即适用声明中的ISO27018控件已添加到ISO27001信息安全管理系统)的“附加”标准。
ISO27018包含两个部分:
ISO27001附件A控件,针对某些领域的云处理器提供了具体指南;
附件A,基于ISO29100隐私权原则的另一套控件。
ISO27018与GDPR之间的重叠存在于许多关键领域,包括但不限于:
事件响应
加密
选择和同意(数据收集措施)
数据主体访问权限
确定加工目的
数据最小化
子处理器的安全标准
当然,ISO27018控件未提供对GDPR要求的完整映射。例如,ISO27018并未解决GDPR的重要内容,例如设计上的隐私,定义数据处理的合法依据或维护所有处理活动的记录。因此,应将ISO27018控件视为现成的但尚不完整的控件基础,以开始证明GDPR符合性。可以针对您的组织制定进一步的控制措施,以解决剩余的GDPR要素。
取得ISO27018认证可以是一种主动的方式来证明云服务提供商已经在执行GDPR合规性措施。此外,相关的ISO27001认证清楚地表明组织已经实施了GDPR下所有处理器所要求的安全标准。因此追求ISO27001认证并增加ISO27018控件可以轻松证明对安全性和隐私性的承诺,使潜在客户感到舒适,并最终使销售周期更加顺畅。