2021年7月5日，北京大陸航星質(zhì)量認(rèn)證中心股份有限公司（HXQC）獲中國(guó)國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)（CNCA）批準(zhǔn)，授權(quán)開展“云服務(wù)信息安全管理體系、公有云個(gè)人信息安全管理體系 、個(gè)人信息安全管理體系和 隱私信息管理體系”認(rèn)證業(yè)務(wù)。

目前組織普遍采用現(xiàn)代通信、計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)來(lái)構(gòu)建組織的信息系統(tǒng)。但大多數(shù)組織的最高管理層對(duì)信息資產(chǎn)所面臨的威脅的嚴(yán)重性認(rèn)識(shí)不足，缺乏明確的信息安全方針、完整的信息安全管理制度、相應(yīng)的管理措施等。這些都是造成信息安全事件的重要原因。缺乏系統(tǒng)的管理思想也是一個(gè)重要的問題。安全是云客戶擔(dān)憂的一大問題，盡管云有著出色的靈活性和可拓展性，但安全問題始終是組織在選擇使用云服務(wù)過程中為何猶豫不決的原因之一。云客戶主要的擔(dān)憂在于云服務(wù)供應(yīng)商（CSP）是否能夠認(rèn)真對(duì)待并且充分重視客戶數(shù)據(jù)。所以，我們需要一個(gè)系統(tǒng)的、整體規(guī)劃的信息

安全管理體系，從預(yù)防控制的角度出發(fā)，保障組織的信息系統(tǒng)與業(yè)務(wù)之安全與正常運(yùn)作。

 【云服務(wù)信息安全管理體簡(jiǎn)介】

一、什么是云服務(wù)信息安全管理體系？

云服務(wù)信息安全管理體系(ISO/IEC 27017:2015)標(biāo)準(zhǔn)建立在ISO/IEC 27001信息安全管理體系框架和ISO/IEC 27002作為最佳實(shí)踐控制設(shè)置的堅(jiān)實(shí)基礎(chǔ)之上。通過ISO/IEC 27017標(biāo)準(zhǔn)認(rèn)證，即證明其遵守國(guó)際公認(rèn)的最佳實(shí)踐，在云或更廣泛的運(yùn)營(yíng)層面構(gòu)建組織的生存力。

ISO/IEC 27017標(biāo)準(zhǔn)與ISO/IEC 27001系列標(biāo)準(zhǔn)配合使用，為云服務(wù)提供商和云服務(wù)客戶提供了加強(qiáng)控制。ISO/ICE 27017標(biāo)準(zhǔn)闡明了云服務(wù)提供商和云服務(wù)客戶雙方在確保云服務(wù)安全可靠方面所扮演的角色和所承擔(dān)的責(zé)任。

【企業(yè)獲益】

1.通過ISO27017認(rèn)證，可以有效地保護(hù)數(shù)據(jù)，降低數(shù)據(jù)泄露以及違反法律法規(guī)帶來(lái)的風(fēng)險(xiǎn)和負(fù)面影響，增強(qiáng)客戶對(duì)企業(yè)的信任；

2.ISO27001因?yàn)槭亲罨A(chǔ)的規(guī)范，所以在進(jìn)行ISO27017之前，必須先經(jīng)過基本的ISO27001認(rèn)證。ISO27017認(rèn)證也可能會(huì)與ISO27001認(rèn)證審核一并進(jìn)行；

3. 當(dāng)客戶和利益相關(guān)者有更大的放心時(shí)，可激發(fā)對(duì)企業(yè)的信任；

4. 它為組織提供了競(jìng)爭(zhēng)優(yōu)勢(shì),到位的強(qiáng)大控制措施可以保護(hù)數(shù)據(jù)；

5. 幫助企業(yè)發(fā)展業(yè)務(wù),提供不同國(guó)家/地區(qū)的通用指南，使在全球開展業(yè)務(wù)變得更加容易；

 

【公有云個(gè)人信息安全管理體系簡(jiǎn)介】

一．什么是公有云個(gè)人信息安全管理體系簡(jiǎn)介

ISO/IEC 27018又稱“云隱保護(hù)認(rèn)證”，是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）制定，主要針對(duì)云服務(wù)商對(duì)云中個(gè)人數(shù)據(jù)安全防護(hù)的國(guó)際標(biāo)準(zhǔn)認(rèn)證，旨在為云個(gè)人身份信息處理者提供一套實(shí)務(wù)守則，以保護(hù)公共云中的個(gè)人身份信息（PII）不受侵犯，是目前國(guó)際上最權(quán)威、最嚴(yán)格、也是最被廣泛接受和應(yīng)用的信息安全體系認(rèn)證。

ISO/IEC 27018:2019 主要針對(duì)保護(hù)云中個(gè)人數(shù)據(jù)安全的行為準(zhǔn)則。它基于ISO/IEC信息安全標(biāo)準(zhǔn) 27002，提供了適用于公共云個(gè)人身份信息 (PII) 的 ISO/IEC 27002 控制措施實(shí)施指導(dǎo)。此外，它還提供了一組額外的控制措施和相關(guān)指導(dǎo)，旨在解決現(xiàn)有的ISO/IEC 27002控制措施及未解決的公共云 PII 保護(hù)要求

【企業(yè)獲益】

1、激發(fā)對(duì)企業(yè)的信任，為客戶和利益相關(guān)者提供更大的保證，即個(gè)人根據(jù)和信息受到保護(hù)；

2、競(jìng)爭(zhēng)優(yōu)勢(shì)，通過最大限度地保護(hù)個(gè)人信息，在競(jìng)爭(zhēng)對(duì)手中脫穎而出；

3、品牌保護(hù)，減少由于數(shù)據(jù)泄露而引起的不利宣傳的風(fēng)險(xiǎn)；

4、降低風(fēng)險(xiǎn)，確保識(shí)別風(fēng)險(xiǎn)，并采取控制措施來(lái)管理或降低風(fēng)險(xiǎn)；

5、防止罰款，確保遵守當(dāng)?shù)胤ㄒ?guī)，減少數(shù)據(jù)泄露的罰款風(fēng)險(xiǎn)；

6、發(fā)展業(yè)務(wù)，提供不同國(guó)家/地區(qū)的通用準(zhǔn)則，使在全球開展業(yè)務(wù)變得更容易，并可以作為首選供應(yīng)商。

【個(gè)人信息安全管理體系簡(jiǎn)介】

一．什么是個(gè)人信息安全管理體系簡(jiǎn)介

ISO29151個(gè)人數(shù)據(jù)隱私保護(hù)認(rèn)證機(jī)構(gòu)ISO/IEC29151:2017認(rèn)證，是國(guó)際通行的個(gè)人身份信息保護(hù)指南，涵蓋26個(gè)控制域，181條控制措施，充分控制個(gè)人身份信息(PII)相關(guān)的風(fēng)險(xiǎn)，適用于任何對(duì)隱私保護(hù)有需求的組織，對(duì)開展個(gè)人身份信息保護(hù)提供了一個(gè)廣泛的指南。信息化、互聯(lián)網(wǎng)、大數(shù)據(jù)時(shí)代對(duì)個(gè)人信息和隱私權(quán)保護(hù)提出了更加緊迫的需求。 ISO29151個(gè)人數(shù)據(jù)隱私保護(hù)認(rèn)證機(jī)構(gòu) 目前，隨著互聯(lián)網(wǎng)服務(wù)滲入經(jīng)濟(jì)生活、生產(chǎn)各環(huán)節(jié)，以及越來(lái)越多的個(gè)人和企業(yè)數(shù)據(jù)遷移上云，對(duì)于用戶數(shù)據(jù)隱私保護(hù)的標(biāo)準(zhǔn)設(shè)立也愈加嚴(yán)格。

【企業(yè)獲益】

1.證明企業(yè)自身的信息安全保障能力和對(duì)個(gè)人數(shù)據(jù)隱私保護(hù)的能力，能夠保障客戶數(shù)據(jù)的安全可靠；

2.進(jìn)一步加強(qiáng)對(duì)個(gè)人識(shí)別身份信息風(fēng)險(xiǎn)，進(jìn)行準(zhǔn)確評(píng)估并采取有效的控制措施；提高業(yè)務(wù)流程的安全性和可靠性；

3.降低IT運(yùn)營(yíng)過程中的個(gè)人可識(shí)別身份信息風(fēng)險(xiǎn)，旨在遏制個(gè)人信息濫用亂象，最大程度地保障用戶合法權(quán)益和社會(huì)公共利益。

 

【隱私信息管理體系簡(jiǎn)介】

一．什么是隱私信息管理體系

ISO/IEC 27701是對(duì)ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隱私擴(kuò)展。它是一項(xiàng)國(guó)際管理系統(tǒng)標(biāo)準(zhǔn)體系，為保護(hù)個(gè)人隱私提供指導(dǎo)，包括組織應(yīng)如何管理個(gè)人信息，并協(xié)助證明遵守了世界各地的隱私法規(guī)。

 【企業(yè)獲益】

1.在管理個(gè)人信息方面建立信任；

2.在利益相關(guān)者之間提供透明度；

3.促成有效的商業(yè)協(xié)議；

4.明確角色和職責(zé)；

5.支持遵守隱私規(guī)定；

6.通過集成領(lǐng)先的信息安全標(biāo)準(zhǔn)ISO/IEC 27001降低復(fù)雜性。