云公有個(gè)人身份保護(hù)體系是什么？

云公有個(gè)人身份保護(hù)體系（Cloud Public Personal Information Protection System，簡(jiǎn)稱(chēng)CPIISMS）是一種基于標(biāo)準(zhǔn)ISO/IEC 27018:2019的管理體系，旨在為云服務(wù)提供商和云服務(wù)客戶(hù)提供一套保護(hù)公共云中個(gè)人身份信息（Personal Identifiable Information，簡(jiǎn)稱(chēng)PII）的行為準(zhǔn)則和控制措施。

PII是指可以用來(lái)識(shí)別、聯(lián)系或特定個(gè)人的任何信息，例如姓名、地址、電話(huà)號(hào)碼、電子郵件地址、號(hào)碼、等。

云服務(wù)提供商是指向云服務(wù)客戶(hù)提供基礎(chǔ)設(shè)施、平臺(tái)或軟件等云服務(wù)的組織。

云服務(wù)客戶(hù)是指使用云服務(wù)提供商提供的云服務(wù)的組織或個(gè)人。

為什么要？隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，越來(lái)越多的組織和個(gè)人選擇將自己的數(shù)據(jù)和業(yè)務(wù)遷移到云端，以享受云計(jì)算帶來(lái)的便利、和等優(yōu)勢(shì)。然而，這也帶來(lái)了一些和隱私方面的挑戰(zhàn)和風(fēng)險(xiǎn)，例如數(shù)據(jù)泄露、數(shù)據(jù)濫用、數(shù)據(jù)丟失、數(shù)據(jù)篡改等。

為了應(yīng)對(duì)這些挑戰(zhàn)和風(fēng)險(xiǎn)，標(biāo)準(zhǔn)化組織（ISO）和電工（IEC）聯(lián)合制定了ISO/IEC 27018:2019標(biāo)準(zhǔn)，作為公認(rèn)的保護(hù)公共云中PII的佳實(shí)踐指南。

通過(guò)建立、實(shí)施和維護(hù)云公有個(gè)人身份保護(hù)體系，云服務(wù)提供商和云服務(wù)客戶(hù)可以：

·提高對(duì)自己業(yè)務(wù)的信任度，向客戶(hù)和利益相關(guān)方展示自己重視并保護(hù)PII的能力和責(zé)任。

·獲得競(jìng)爭(zhēng)優(yōu)勢(shì)，區(qū)別于其他沒(méi)有通過(guò)認(rèn)證或沒(méi)有遵守標(biāo)準(zhǔn)的云服務(wù)提供商或客戶(hù)。

·降，確保識(shí)別并管理可能導(dǎo)致PII泄露或損害的威脅和漏洞。

·防止罰款，確保遵守不同國(guó)家或地區(qū)對(duì)于PII保護(hù)的法律法規(guī)，減少因?yàn)閿?shù)據(jù)違規(guī)而引起的經(jīng)濟(jì)損失。

·發(fā)展業(yè)務(wù)，提供一個(gè)通用的合規(guī)框架，使在市場(chǎng)開(kāi)展業(yè)務(wù)變得容易，并可以作為的合作伙伴。

有什么好處？云公有個(gè)人身份保護(hù)體系不僅可以給予云服務(wù)提供商和客戶(hù)上述的好處，還可以帶來(lái)以下的具體收益：

·增強(qiáng)PII所有者（即被收集或處理PII的個(gè)人）的權(quán)利和控制力，例如知情權(quán)、同意權(quán)、訪問(wèn)權(quán)、正權(quán)、刪除權(quán)等。

·優(yōu)化PII的收集、處理和存儲(chǔ)流程，確保PII的小化、透明化和合理化，避免不必要或不合法的PII使用。

·加強(qiáng)PII的性和完整性，采取適當(dāng)?shù)募夹g(shù)和管理措施，防止PII被未經(jīng)授權(quán)的訪問(wèn)、修改、復(fù)制、轉(zhuǎn)移或銷(xiāo)毀。

·提升PII的可用性和可恢復(fù)性，建立有效的備份和恢復(fù)機(jī)制，確保在發(fā)生災(zāi)難或故障時(shí)，可以及時(shí)恢復(fù)PII的正常使用。

·增進(jìn)PII的互操作性和可移植性，遵循統(tǒng)一的數(shù)據(jù)格式和接口標(biāo)準(zhǔn)，確保PII可以在不同的云服務(wù)提供商或客戶(hù)之間順暢地交換或遷移。

如何申請(qǐng)？如果您想申請(qǐng)?jiān)乒袀€(gè)人身份保護(hù)體系，您需要滿(mǎn)足以下的條件：

·您是一個(gè)正常合法經(jīng)營(yíng)三個(gè)月以上的企業(yè)，信用良好，沒(méi)有違規(guī)記錄。

·您有與業(yè)務(wù)相關(guān)的技術(shù)人員。

·您有兩個(gè)以上成熟的與認(rèn)證范圍相關(guān)的項(xiàng)目合同。

·您已經(jīng)建立了信息管理體系，并通過(guò)了ISO/IEC 27001:2013認(rèn)證或準(zhǔn)備同時(shí)申請(qǐng)?jiān)撜J(rèn)證。

·您已經(jīng)運(yùn)行了云公有個(gè)人身份保護(hù)體系三個(gè)月以上，并完成了至少一次內(nèi)部審核和管理評(píng)審。

如果您符合上述條件，并且決定辦理云公有個(gè)人身份保護(hù)體系，您可以參考以下的流程：

1.選擇一個(gè)合格的認(rèn)證機(jī)構(gòu)，與其簽訂認(rèn)證合同，并提交相關(guān)材料，例如公司簡(jiǎn)介、營(yíng)業(yè)執(zhí)照、其他資質(zhì)書(shū)、組織架構(gòu)圖、業(yè)務(wù)流程圖、有效的ISMS認(rèn)證或申請(qǐng)、支持CPIISMS的規(guī)程和控制措施等。

2.接受認(rèn)證機(jī)構(gòu)的初審（文件審核），檢查您提交的材料是否完整、準(zhǔn)確和符合標(biāo)準(zhǔn)要求。

3.接受認(rèn)證機(jī)構(gòu)的現(xiàn)場(chǎng)審核，驗(yàn)證您實(shí)施和運(yùn)行CPIISMS的有效性和一致性，并發(fā)現(xiàn)并改正任何不符合項(xiàng)或不足項(xiàng)。

4.通過(guò)認(rèn)證機(jī)構(gòu)的審核報(bào)告和評(píng)審，獲得CPIISMS認(rèn)證證書(shū)，并按照認(rèn)證機(jī)構(gòu)的要求進(jìn)行后續(xù)監(jiān)督和維護(hù)。