ISOIEC27018PII保护信息安全管理体系认证规则.PDF

编号：BMS-SC-036 ISO/IEC 27018 PII 保护信息安全管理体系认证规则 版本：A 发行日期 ISO/IEC 27018 PII 保护信息安全管理体系认证规则 目录 1. 标准简介 2. 适用范围 3. 认证基本原则 4. 对认证人员的要求 5. 申请和合同评审程序 6．审核准备 7. 初次认证审核 8. 审核实现 9．认证决定 10. 暂停、撤销和取消 11. 受理申诉和投诉 12. 认证记录管理 附录 A PII 保护信息安全管理体系认证人天计算表 必维认证（北京）有限公司 1 编号：BMS-SC-036 ISO/IEC 27018 PII 保护信息安全管理体系认证规则 版本：A 发行日期 1 标准简介 ISO/IEC 27018 国际标准适用于为如下公共云服务 PII 保护给出了信息安全控制 的要求。 --基于 ISO/IEC 27002 规定的控制 目标、控制措施、实施指南及额外实施要求 --规定了普遍可接受的控制目标、控制措施、实施指南，以实施对识别的个人信 息保护的测量。这与ISO/IEC 29100 公共云计算环境隐私原则一致 --考虑到适用于公共云服务提供方的信息安全风险环境的 PII 保护的法规要求 --适用于所有类型和规模的组织，包括国有企业、私营企业、政府机构和非盈利 组织。这些组织作为 PII 处理者遵照合同通过云计算向其他组织提供信息加工服务 2 适用范围 2.1 本规则用于规范必维认证（北京）有限公司（以下简称“必维”）对申请认证 和获证的各类组织按照 ISO/IEC 27018《基于 ISO/IEC 27002 信息安全控制-实施要求》 建立的公共云服务 PII 保护信息安全管理体系的认证活动。 2.2 本规则旨在遵守认证认可相关法律法规及国家技术标准，对公共云服务 PII 保护信息安全管理体系认证实施过程作出具体规定，确保必维对认证过程的管理和相 应责任。 2.3 本规则是对必维从事公共云服务 PII 保护信息安全管理体系认证活动的基本 要求，公司各部门从事该项认证活动应当遵守本规则。 3 认证基本原则 3.1 公正性：保持公正，是提供第三方认证的必要条件。公司通过合同评审、技 术评审、审核准备和实现等过程控制，确保审核过程是公正的、客观的，为认证过程 和证书提供社会公信力。 3.2 能力：能力是指经证实的应用知识和技能的本领。公司通过审核人员管理机 必维认证（北京）有限公司 2 编号：BMS-SC-036 ISO/IEC 27018 PII 保护信息安全管理体系认证规则 版本：A 发行日期 制，保障的人员能力是提供可建立信心的认证审核的必要条件。 3.3 责任：公司基于合理抽样、足够的客观证据基础上进行审核和评价，并在 此基础上做出认证决定。 3.4 开放性：为确保诚信性与可信性，公司采用透明运营的方式，公布有关公共 云服务PII保护信息安全管理体系认证审核过程和状态的适宜、及时的信息，或提供获取 上述信息的公开渠道。 3.5 保密性：公司采取措施对任何关于客户的专有重要敏感信息予以保密，但 对于享有获取充分评价认证审核符合性所需的信息的特别权利是