公有云个人可识别信息保护管理体系认证（ISO/IEC 27018）认证简介

随着云计算技术的纵深应用，公有云环境中的个人可识别信息（PII）保护问题日益受到全球关注。数据泄露、隐私侵权等安全风险促使监管机构、客户及社会公众对云服务提供商的数据保护能力提出更高要求。在这一背景下，国际标准化组织（ISO）与国际电工委员会（IEC）联合发布了ISO/IEC 27018标准，为公有云环境下的PII保护提供了全球首个专门的行为准则。作为经国家认监委依法批准设立、具备信息安全管理体系认证专业范围认可资格的独立第三方认证机构，我中心依据ISO/IEC 27018及GB/T 22080/ISO/IEC 27001两项标准，对组织实施的公有云个人可识别信息保护管理体系开展认证审核活动，现就该项认证作如下介绍。

一、标准背景与定位

ISO/IEC 27018《信息技术——安全技术——个人可识别信息（PII）处理者在公有云中保护PII的实践指南》由ISO/IEC JTC 1/SC 27信息安全、网络安全和隐私保护分技术委员会编制，是全球首个专门针对公有云环境中个人可识别信息保护的国际标准。该标准于2014年首次发布，先后历经2019年和2025年两次修订。现行有效版本为ISO/IEC 27018:2025，于2025年8月正式发布，与ISO/IEC 27002:2022实现了标准内容的一致性对齐。

ISO/IEC 27018又称“云隐私保护认证”，建立在ISO/IEC 27001信息安全管理体系框架和ISO/IEC 27002安全控制最佳实践基础之上，专门针对公有云服务中PII处理者的隐私保护提出了增强控制要求。该标准以ISO/IEC 29100隐私框架标准中定义的隐私原则为依据，在ISO/IEC 27002安全控制基础上进行了两个方向的扩展：一是对现有控制措施补充了面向公有云PII保护的实施指南，二是新增了一组直接映射隐私原则的专项安全控制措施。该标准为公有云环境中的PII处理者提供了全球公认的安全控制体系，旨在帮助云服务提供商在作为PII处理者开展业务时承担必要的数据保护责任。

二、认证依据与证书

我中心依据ISO/IEC 27018:2019《信息技术——安全技术——个人可识别信息（PII）处理者在公有云中保护PII的实践指南》 和GB/T 22080/ISO/IEC 27001《信息技术——安全技术——信息安全管理体系——要求》 两项标准开展认证审核活动。我中心颁发的认证证书标注的认证依据标准为：ISO/IEC 27018和GB/T 22080/ISO/IEC 27001。

须特别说明，ISO/IEC 27018在标准体系中是ISO/IEC 27001在公有云PII保护领域的专项扩展和深化，其在性质上属于行为准则和指南类标准，须与ISO/IEC 27001认证配合使用，方可构成完整的认证结论。因此，申请本认证的组织应当已具备有效的ISO/IEC 27001认证基础，或同时申请ISO/IEC 27001认证。对同时申请两项认证的组织，我中心可实施一体化审核方案，在少量增加审核人日的基础上完成两个管理体系的审核。

三、适用范围

本认证适用于所有类型和规模、在公有云环境中作为PII处理者提供信息处理服务的组织。涵盖但不限于以下组织类型：

● 公共云服务提供商：提供基础设施即服务（IaaS）、平台即服务（PaaS）、软件即服务（SaaS）等各类公有云计算服务的企业；

● 通过云计算作为PII处理者提供信息处理服务的组织：涵盖通信、金融、电子商务、医疗服务、教育、交通、政务等各行业领域中利用公有云处理个人可识别信息的组织；

● 在云端环境中存储和处理个人资料的各类组织：包括涉及工资单、税单、客户付款明细等敏感信息处理的公共机构和商业企业。

该标准适用于公有云PII处理者受合同委托为其他组织提供信息处理服务的场景，其指南对作为PII控制者的组织同样具有参考价值。但PII控制者可能须遵守适用于PII处理者之外的额外PII保护法律、法规和义务。

四、认证的核心管理要求

依据ISO/IEC 27018标准，认证审核围绕组织在公有云环境下对PII的系统化保护能力展开，重点关注以下核心管理领域：

透明度与告知义务： 公有云服务供应商须保证清晰的透明度，用户享有对其存储数据的完整控制权，服务商必须将对数据的操作告知用户并得到认同。该标准要求云服务提供商公开披露其处理PII的方式、存储位置及数据访问政策等关键信息。

目的限制与合规使用： 确保云服务提供商不会将客户数据用于客户未明确同意的任何用途，严格遵循数据最小化和目的限制原则，防止数据超范围利用。

数据主体权利保障： 建立数据主体权利响应机制，确保云服务客户能够有效行使对其个人数据的访问、更正、删除、限制处理等权利。为云服务客户提供行使审核和合规权利及责任的机制。

角色与责任界定： 清晰界定PII控制者与PII处理者之间的责任边界，确保在云计算环境下各方的数据保护义务得到明确划分和有效履行。通过合同约定等方式规范与云服务客户之间的数据处理关系。

安全控制与风险缓解： 在ISO/IEC 27001附录A控制措施基础上，针对公有云PII处理提出增强的控制要求。在原有控制条款基础上延展补充了对公有云PII保护的具体要求，并根据ISO/IEC 29100的隐私原则增加了PII保护专项附加控制条款。涵盖数据加密与脱敏、访问控制、数据防泄漏、安全监测与事件响应、介质管理及合规审计等关键领域。

跨境传输合规： 确保PII的跨境传输和处理符合不同国家或地区的法律法规要求，提供覆盖不同国家和地区的通用指导方针，为在全球范围内开展业务提供便利。

持续监控与改进： 建立PII处理活动的持续监控机制和信息安全事件响应程序，定期开展隐私影响评估和管理评审，确保体系持续有效运行。

五、认证申请条件

申请本认证的组织应当同时满足以下基本条件：

1.  具有独立法人资格或经法人授权的合法经营资格，持有有效的营业执照或相关资质文件；

2.  组织在公有云环境中作为PII处理者开展信息处理服务业务，具备可供现场审核验证的公有云PII处理场景和运行记录；

3.  公有云个人可识别信息保护管理体系是在ISO/IEC 27001信息安全管理体系的基础上建立、实施和扩展的，申请认证的组织应已建立信息安全管理体系，且通过了ISO/IEC 27001认证或准备同时申请ISO/IEC 27001认证。申请的认证范围不得超出组织现有ISO/IEC 27001认证的覆盖范围；

4.  已按照ISO/IEC 27018标准的要求建立文件化的公有云PII保护管理体系，并正式运行不少于三个月；

5.  在认证审核前，已实施至少一次覆盖标准全部适用要素的内部审核和管理评审；

6.  体系运行期间及认证申请前一年内，未因个人信息保护或数据安全问题受到主管部门的重大行政处罚。

六、认证流程

我中心实施公有云个人可识别信息保护管理体系认证的基本流程如下：

（一）申请与受理。 申请组织向我中心提交正式认证申请书及相关证明文件，包括有效的营业执照、有效的ISO/IEC 27001认证证书或认证申请、公有云PII保护管理体系文件（如管理手册、程序文件、隐私影响评估报告、适用性声明等）、适用的法律法规标准清单及PII处理活动说明。我中心对申请材料的完整性和合规性进行审查，确认符合受理条件后正式受理。

（二）文件审查（第一阶段审核）。 审核组对申请组织提交的体系文件进行书面审查，确认组织的体系文件已充分覆盖ISO/IEC 27018标准的全部适用要求，覆盖透明度要求、目的限制、数据主体权利、安全控制措施等核心领域，审查组织的场所状况、对标准要求的理解程度，收集并评估有关认证范围、管理评审、内部审核、绩效数据和相关风险的信息，并确定第二阶段审核的重点方向。

（三）现场审核（第二阶段审核）。 文件审查通过后，审核组进驻申请组织的运营场所，通过访谈管理层及数据保护关键岗位人员、查阅体系运行记录、现场观察公有云PII处理活动、抽样验证数据主体权利响应过程等方式，全面验证公有云PII保护管理体系运行的有效性和符合性。审核重点涵盖体系有效性、不符合项数量和严重程度、投诉处理机制、管理层的承诺等要素。审核范围须覆盖标准全部适用条款和认证范围所涉及的核心业务活动与PII处理场景。

（四）认证决定。 审核组根据现场审核发现，对组织的公有云PII保护管理体系与ISO/IEC 27018及GB/T 22080/ISO/IEC 27001标准的符合性和运行有效性进行综合评价，形成审核报告。我中心独立于审核组的认证决定人员依据审核报告及审核证据做出认证决定。当确认组织的管理体系全面满足标准要求时，即为组织颁发认证证书。

（五）监督审核与再认证。 认证证书有效期为三年。获证后，组织须按年度接受监督审核，确保持续符合标准要求。证书到期前须申请再认证审核，再认证流程与初次认证基本一致。

七、认证的价值与采信

获得公有云个人可识别信息保护管理体系认证，是公有云服务提供商具备国际公认的PII保护能力的重要标志，具有多方面价值：

在增强信任方面，认证向客户和利益相关方提供更大保证，证明其个人数据和信息在公有云环境中受到符合国际标准的系统化保护。通过建立一致的隐私实践控制体系，使组织在客户和监管机构面前展现可验证、可审计的隐私保护能力。

在合规保障方面，ISO/IEC 27018为云服务提供商提供了系统化的合规框架，有助于组织满足欧盟《通用数据保护条例》（GDPR）以及《中华人民共和国个人信息保护法》等全球主要隐私法律法规的要求，显著降低因数据泄露或违规处理PII而面临的罚款和法律风险。GDPR生效后，对于组织而言，证明合规性并展示其如何保护云端存储的数据至关重要。

在市场竞争方面，该认证已成为诸多行业领先企业和政府部门在选择云服务供应商时的重要评估条件。通过最大限度地保护个人信息，帮助企业在竞争对手中脱颖而出，展示竞争优势。获得认证有助于组织在招投标、供应商入库及商业合作中建立可信赖的品牌形象。

在运营效率方面，通过建立和实施公有云PII保护管理体系，有助于组织系统化管控隐私风险、优化数据治理流程，降低由数据泄露引起的不利宣传风险，保护品牌声誉。提供覆盖不同国家和地区的通用指导方针，为在全球范围内开展业务和获得作为首选供应商的机会提供便利。

在国际接轨方面，ISO/IEC 27018的2025版已与ISO/IEC 27002:2022实现对齐，确保标准体系的一致性。该标准作为国际公认的云隐私保护行为准则，为云服务提供商在全球市场的业务拓展提供了权威的能力证明。

八、我中心的认证能力与承诺

作为经国家认监委依法批准设立、具备信息安全管理体系认证专业范围认可资格的独立第三方认证机构，我中心拥有一批经过严格培训且具备ISO/IEC 27018认证审核资格的专业审核员，具备丰富的公有云信息安全与隐私保护领域审核经验，对国内外个人信息保护法律法规与行业政策有深入了解。中心严格遵守国家认证认可法律法规，遵循客观独立、公开公正、诚实信用的原则，对所有申请组织提供平等、规范的认证服务，确保认证结论的权威性和公信力。

如需进一步了解认证详情或提交认证申请，请通过我中心官方渠道获取申请文件和相关材料。