2021年7月5日，北京大陸航星質(zhì)量認(rèn)證中心股份有限公司（HXQC）獲中國國家認(rèn)證認(rèn)可監(jiān)督管理委員會（CNCA）批準(zhǔn)，授權(quán)開展“云服務(wù)信息安全管理體系、公有云個人信息安全管理體系 、個人信息安全管理體系和 隱私信息管理體系”認(rèn)證業(yè)務(wù)。

目前組織普遍采用現(xiàn)代通信、計算機、網(wǎng)絡(luò)技術(shù)來構(gòu)建組織的信息系統(tǒng)。但大多數(shù)組織的最高管理層對信息資產(chǎn)所面臨的威脅的嚴(yán)重性認(rèn)識不足，缺乏明確的信息安全方針、完整的信息安全管理制度、相應(yīng)的管理措施等。這些都是造成信息安全事件的重要原因。缺乏系統(tǒng)的管理思想也是一個重要的問題。安全是云客戶擔(dān)憂的一大問題，盡管云有著出色的靈活性和可拓展性，但安全問題始終是組織在選擇使用云服務(wù)過程中為何猶豫不決的原因之一。云客戶主要的擔(dān)憂在于云服務(wù)供應(yīng)商（CSP）是否能夠認(rèn)真對待并且充分重視客戶數(shù)據(jù)。所以，我們需要一個系統(tǒng)的、整體規(guī)劃的信息

安全管理體系，從預(yù)防控制的角度出發(fā)，保障組織的信息系統(tǒng)與業(yè)務(wù)之安全與正常運作。

 【云服務(wù)信息安全管理體簡介】

一、什么是云服務(wù)信息安全管理體系？

云服務(wù)信息安全管理體系(ISO/IEC 27017:2015)標(biāo)準(zhǔn)建立在ISO/IEC 27001信息安全管理體系框架和ISO/IEC 27002作為最佳實踐控制設(shè)置的堅實基礎(chǔ)之上。通過ISO/IEC 27017標(biāo)準(zhǔn)認(rèn)證，即證明其遵守國際公認(rèn)的最佳實踐，在云或更廣泛的運營層面構(gòu)建組織的生存力。

ISO/IEC 27017標(biāo)準(zhǔn)與ISO/IEC 27001系列標(biāo)準(zhǔn)配合使用，為云服務(wù)提供商和云服務(wù)客戶提供了加強控制。ISO/ICE 27017標(biāo)準(zhǔn)闡明了云服務(wù)提供商和云服務(wù)客戶雙方在確保云服務(wù)安全可靠方面所扮演的角色和所承擔(dān)的責(zé)任。

【企業(yè)獲益】

1.通過ISO27017認(rèn)證，可以有效地保護數(shù)據(jù)，降低數(shù)據(jù)泄露以及違反法律法規(guī)帶來的風(fēng)險和負(fù)面影響，增強客戶對企業(yè)的信任；

2.ISO27001因為是最基礎(chǔ)的規(guī)范，所以在進行ISO27017之前，必須先經(jīng)過基本的ISO27001認(rèn)證。ISO27017認(rèn)證也可能會與ISO27001認(rèn)證審核一并進行；

3. 當(dāng)客戶和利益相關(guān)者有更大的放心時，可激發(fā)對企業(yè)的信任；

4. 它為組織提供了競爭優(yōu)勢,到位的強大控制措施可以保護數(shù)據(jù)；

5. 幫助企業(yè)發(fā)展業(yè)務(wù),提供不同國家/地區(qū)的通用指南，使在全球開展業(yè)務(wù)變得更加容易；

 

【公有云個人信息安全管理體系簡介】

一．什么是公有云個人信息安全管理體系簡介

ISO/IEC 27018又稱“云隱保護認(rèn)證”，是由英國標(biāo)準(zhǔn)協(xié)會（BSI）制定，主要針對云服務(wù)商對云中個人數(shù)據(jù)安全防護的國際標(biāo)準(zhǔn)認(rèn)證，旨在為云個人身份信息處理者提供一套實務(wù)守則，以保護公共云中的個人身份信息（PII）不受侵犯，是目前國際上最權(quán)威、最嚴(yán)格、也是最被廣泛接受和應(yīng)用的信息安全體系認(rèn)證。

ISO/IEC 27018:2019 主要針對保護云中個人數(shù)據(jù)安全的行為準(zhǔn)則。它基于ISO/IEC信息安全標(biāo)準(zhǔn) 27002，提供了適用于公共云個人身份信息 (PII) 的 ISO/IEC 27002 控制措施實施指導(dǎo)。此外，它還提供了一組額外的控制措施和相關(guān)指導(dǎo)，旨在解決現(xiàn)有的ISO/IEC 27002控制措施及未解決的公共云 PII 保護要求

【企業(yè)獲益】

1、激發(fā)對企業(yè)的信任，為客戶和利益相關(guān)者提供更大的保證，即個人根據(jù)和信息受到保護；

2、競爭優(yōu)勢，通過最大限度地保護個人信息，在競爭對手中脫穎而出；

3、品牌保護，減少由于數(shù)據(jù)泄露而引起的不利宣傳的風(fēng)險；

4、降低風(fēng)險，確保識別風(fēng)險，并采取控制措施來管理或降低風(fēng)險；

5、防止罰款，確保遵守當(dāng)?shù)胤ㄒ?guī)，減少數(shù)據(jù)泄露的罰款風(fēng)險；

6、發(fā)展業(yè)務(wù)，提供不同國家/地區(qū)的通用準(zhǔn)則，使在全球開展業(yè)務(wù)變得更容易，并可以作為首選供應(yīng)商。

【個人信息安全管理體系簡介】

一．什么是個人信息安全管理體系簡介

ISO29151個人數(shù)據(jù)隱私保護認(rèn)證機構(gòu)ISO/IEC29151:2017認(rèn)證，是國際通行的個人身份信息保護指南，涵蓋26個控制域，181條控制措施，充分控制個人身份信息(PII)相關(guān)的風(fēng)險，適用于任何對隱私保護有需求的組織，對開展個人身份信息保護提供了一個廣泛的指南。信息化、互聯(lián)網(wǎng)、大數(shù)據(jù)時代對個人信息和隱私權(quán)保護提出了更加緊迫的需求。 ISO29151個人數(shù)據(jù)隱私保護認(rèn)證機構(gòu) 目前，隨著互聯(lián)網(wǎng)服務(wù)滲入經(jīng)濟生活、生產(chǎn)各環(huán)節(jié)，以及越來越多的個人和企業(yè)數(shù)據(jù)遷移上云，對于用戶數(shù)據(jù)隱私保護的標(biāo)準(zhǔn)設(shè)立也愈加嚴(yán)格。

【企業(yè)獲益】

1.證明企業(yè)自身的信息安全保障能力和對個人數(shù)據(jù)隱私保護的能力，能夠保障客戶數(shù)據(jù)的安全可靠；

2.進一步加強對個人識別身份信息風(fēng)險，進行準(zhǔn)確評估并采取有效的控制措施；提高業(yè)務(wù)流程的安全性和可靠性；

3.降低IT運營過程中的個人可識別身份信息風(fēng)險，旨在遏制個人信息濫用亂象，最大程度地保障用戶合法權(quán)益和社會公共利益。

 

【隱私信息管理體系簡介】

一．什么是隱私信息管理體系

ISO/IEC 27701是對ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隱私擴展。它是一項國際管理系統(tǒng)標(biāo)準(zhǔn)體系，為保護個人隱私提供指導(dǎo)，包括組織應(yīng)如何管理個人信息，并協(xié)助證明遵守了世界各地的隱私法規(guī)。

 【企業(yè)獲益】

1.在管理個人信息方面建立信任；

2.在利益相關(guān)者之間提供透明度；

3.促成有效的商業(yè)協(xié)議；

4.明確角色和職責(zé)；

5.支持遵守隱私規(guī)定；

6.通過集成領(lǐng)先的信息安全標(biāo)準(zhǔn)ISO/IEC 27001降低復(fù)雜性。