2021年7月5日，北京大陸航星質量認證中心股份有限公司（HXQC）獲中國國家認證認可監(jiān)督管理委員會（CNCA）批準，授權開展“云服務信息安全管理體系、公有云個人信息安全管理體系 、個人信息安全管理體系和 隱私信息管理體系”認證業(yè)務。

目前組織普遍采用現(xiàn)代通信、計算機、網(wǎng)絡技術來構建組織的信息系統(tǒng)。但大多數(shù)組織的最高管理層對信息資產(chǎn)所面臨的威脅的嚴重性認識不足，缺乏明確的信息安全方針、完整的信息安全管理制度、相應的管理措施等。這些都是造成信息安全事件的重要原因。缺乏系統(tǒng)的管理思想也是一個重要的問題。安全是云客戶擔憂的一大問題，盡管云有著出色的靈活性和可拓展性，但安全問題始終是組織在選擇使用云服務過程中為何猶豫不決的原因之一。云客戶主要的擔憂在于云服務供應商（CSP）是否能夠認真對待并且充分重視客戶數(shù)據(jù)。所以，我們需要一個系統(tǒng)的、整體規(guī)劃的信息

安全管理體系，從預防控制的角度出發(fā)，保障組織的信息系統(tǒng)與業(yè)務之安全與正常運作。

 【云服務信息安全管理體簡介】

一、什么是云服務信息安全管理體系？

云服務信息安全管理體系(ISO/IEC 27017:2015)標準建立在ISO/IEC 27001信息安全管理體系框架和ISO/IEC 27002作為最佳實踐控制設置的堅實基礎之上。通過ISO/IEC 27017標準認證，即證明其遵守國際公認的最佳實踐，在云或更廣泛的運營層面構建組織的生存力。

ISO/IEC 27017標準與ISO/IEC 27001系列標準配合使用，為云服務提供商和云服務客戶提供了加強控制。ISO/ICE 27017標準闡明了云服務提供商和云服務客戶雙方在確保云服務安全可靠方面所扮演的角色和所承擔的責任。

【企業(yè)獲益】

1.通過ISO27017認證，可以有效地保護數(shù)據(jù)，降低數(shù)據(jù)泄露以及違反法律法規(guī)帶來的風險和負面影響，增強客戶對企業(yè)的信任；

2.ISO27001因為是最基礎的規(guī)范，所以在進行ISO27017之前，必須先經(jīng)過基本的ISO27001認證。ISO27017認證也可能會與ISO27001認證審核一并進行；

3. 當客戶和利益相關者有更大的放心時，可激發(fā)對企業(yè)的信任；

4. 它為組織提供了競爭優(yōu)勢,到位的強大控制措施可以保護數(shù)據(jù)；

5. 幫助企業(yè)發(fā)展業(yè)務,提供不同國家/地區(qū)的通用指南，使在全球開展業(yè)務變得更加容易；

 

【公有云個人信息安全管理體系簡介】

一．什么是公有云個人信息安全管理體系簡介

ISO/IEC 27018又稱“云隱保護認證”，是由英國標準協(xié)會（BSI）制定，主要針對云服務商對云中個人數(shù)據(jù)安全防護的國際標準認證，旨在為云個人身份信息處理者提供一套實務守則，以保護公共云中的個人身份信息（PII）不受侵犯，是目前國際上最權威、最嚴格、也是最被廣泛接受和應用的信息安全體系認證。

ISO/IEC 27018:2019 主要針對保護云中個人數(shù)據(jù)安全的行為準則。它基于ISO/IEC信息安全標準 27002，提供了適用于公共云個人身份信息 (PII) 的 ISO/IEC 27002 控制措施實施指導。此外，它還提供了一組額外的控制措施和相關指導，旨在解決現(xiàn)有的ISO/IEC 27002控制措施及未解決的公共云 PII 保護要求

【企業(yè)獲益】

1、激發(fā)對企業(yè)的信任，為客戶和利益相關者提供更大的保證，即個人根據(jù)和信息受到保護；

2、競爭優(yōu)勢，通過最大限度地保護個人信息，在競爭對手中脫穎而出；

3、品牌保護，減少由于數(shù)據(jù)泄露而引起的不利宣傳的風險；

4、降低風險，確保識別風險，并采取控制措施來管理或降低風險；

5、防止罰款，確保遵守當?shù)胤ㄒ?guī)，減少數(shù)據(jù)泄露的罰款風險；

6、發(fā)展業(yè)務，提供不同國家/地區(qū)的通用準則，使在全球開展業(yè)務變得更容易，并可以作為首選供應商。

【個人信息安全管理體系簡介】

一．什么是個人信息安全管理體系簡介

ISO29151個人數(shù)據(jù)隱私保護認證機構ISO/IEC29151:2017認證，是國際通行的個人身份信息保護指南，涵蓋26個控制域，181條控制措施，充分控制個人身份信息(PII)相關的風險，適用于任何對隱私保護有需求的組織，對開展個人身份信息保護提供了一個廣泛的指南。信息化、互聯(lián)網(wǎng)、大數(shù)據(jù)時代對個人信息和隱私權保護提出了更加緊迫的需求。 ISO29151個人數(shù)據(jù)隱私保護認證機構 目前，隨著互聯(lián)網(wǎng)服務滲入經(jīng)濟生活、生產(chǎn)各環(huán)節(jié)，以及越來越多的個人和企業(yè)數(shù)據(jù)遷移上云，對于用戶數(shù)據(jù)隱私保護的標準設立也愈加嚴格。

【企業(yè)獲益】

1.證明企業(yè)自身的信息安全保障能力和對個人數(shù)據(jù)隱私保護的能力，能夠保障客戶數(shù)據(jù)的安全可靠；

2.進一步加強對個人識別身份信息風險，進行準確評估并采取有效的控制措施；提高業(yè)務流程的安全性和可靠性；

3.降低IT運營過程中的個人可識別身份信息風險，旨在遏制個人信息濫用亂象，最大程度地保障用戶合法權益和社會公共利益。

 

【隱私信息管理體系簡介】

一．什么是隱私信息管理體系

ISO/IEC 27701是對ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隱私擴展。它是一項國際管理系統(tǒng)標準體系，為保護個人隱私提供指導，包括組織應如何管理個人信息，并協(xié)助證明遵守了世界各地的隱私法規(guī)。

 【企業(yè)獲益】

1.在管理個人信息方面建立信任；

2.在利益相關者之間提供透明度；

3.促成有效的商業(yè)協(xié)議；

4.明確角色和職責；

5.支持遵守隱私規(guī)定；

6.通過集成領先的信息安全標準ISO/IEC 27001降低復雜性。