ISO27701個人隱私信息安全

ISO/IEC 27701是對ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隱私擴展，全稱《安全技術(shù)—擴展ISO/IEC 27001和ISO/IEC 27002的隱私信息管理—要求與指南》。它是ISO標(biāo)準委員會以ISO 27001為基準，以ISO 27552為藍本，建立發(fā)布的隱私信息管理體系標(biāo)準，為保護個人隱私提供指導(dǎo)。ISO/IEC 27701標(biāo)準的發(fā)布，填補了隱私信息管理體系的空白，將隱私保護的原則、理念和方法，融入到信息安全保護體系中，并且對PII控制者和PII處理者進行了較為詳細且落地性強的規(guī)定，給企業(yè)在隱私保護和信息安全方面給出了指導(dǎo)建議。

ISO/IEC 27701標(biāo)準設(shè)計的目的在于借助更多的要求增強現(xiàn)有ISO27001信息安全管理體系（ ISMS），以建立、實施、維護和持續(xù)改進ISO27701隱私信息管理體系 (PIMS)。標(biāo)準概述了適用于個人身份信息 (PII) 控制者和 PII 處理者的框架，以有效管理隱私控制，降低個人隱私權(quán)面臨的風(fēng)險。它適用于所有類型和規(guī)模的組織，包括公共和私營公司、政府實體以及非盈利組織。

認證收益

滿足外部合規(guī)要求

通過明確對PII處理者生命周期的隱私保護要求，可以明確隱私保護管理合規(guī)目標(biāo)，減輕組織合規(guī)負擔(dān)的同時降低組織合規(guī)風(fēng)險。

提高風(fēng)險管理能力

通過流程分析，在流程的輸入、輸出、控制各個環(huán)節(jié)中，識別、分析、驗證隱私保護需求，減少甚至消除隱私泄露的風(fēng)險。

增強外部組織信任

通過得到授權(quán)的第三方機構(gòu)對PII處理者進行審計驗證，可以極大地降低合規(guī)溝通成本，有助于向公眾傳達組織的可信度。

保持業(yè)務(wù)競爭優(yōu)勢

建立個人隱私管理體系，表明企業(yè)能夠?qū)€人隱私數(shù)據(jù)做到有效的管理和保護。同時ISO27701證書也是投標(biāo)時的一個重要指標(biāo)。

申報流程

資料準備階段
進行企業(yè)現(xiàn)狀差距分析
收集認證所需基礎(chǔ)材料
編制證書申報全套文件
咨詢輔導(dǎo)貫標(biāo)
專業(yè)咨詢團隊全程輔導(dǎo)
體系運行過程持續(xù)跟蹤
審核要點難點講解分析
認證申請受理
專業(yè)咨詢團隊全程輔導(dǎo)
體系運行過程持續(xù)跟蹤
審核要點難點講解分析
現(xiàn)場審核發(fā)證
資深專家全程陪同審核
不符合項及時改進關(guān)閉
持續(xù)跟進證書申報寄送
證書年審維持
合理規(guī)劃年度審核時間
全程跟進咨詢審核過程
免費提供專業(yè)認證建議

認證Q&A

前提條件

組織應(yīng)已建立同時滿足ISO/IEC27001標(biāo)準的信息安全管理體系及ISO/IEC 27701標(biāo)準的隱私信息管理體系，且體系運行時間需不少于三個月。
參與部門

實施ISO/IEC 27701個人隱私安全管理體系，至少需要組織業(yè)務(wù)部門、技術(shù)研發(fā)部門、客戶服務(wù)部門、信息安全部門和法務(wù)部門。
實施周期

正常從項目開始啟動，通過差距分析，輔以培訓(xùn)，建立隱私信息安全保護體系并推廣實施，經(jīng)第三方機構(gòu)認證審核，整個周期在6-8周。
所需材料

公司營業(yè)執(zhí)照，運營場所租賃或購買合同，現(xiàn)有業(yè)務(wù)流程文件，和個人隱私安全相關(guān)的管理制度，隱私保護風(fēng)評材料，隱私適用性聲明等。

術(shù)語解釋

PII：個人可識別信息 Personally identifiable information,也譯作個人身份信息

PII控制者：確定處理PII的目的和手段隱私利益相關(guān)者，但不包括出于個人目的使用數(shù)據(jù)的自然人PII處理者：代表并按照 PII 控制者的說明處理PII的隱私利益相關(guān)者

PIMS：

隱私信息管理體系Customer：

PII控制者的customer：與PII控制者有合約關(guān)系的組織，可以是共同控制者

PII處理者的customer：與PII處理者有合約關(guān)系的PII控制者