一文读懂【ISO27701隐私信息管理体系】
数据滥用、数据窃取、隐私泄露以及“大数据杀熟”等数据安全问题呈现爆发趋势。在此背景下,全球各个国家纷纷颁布相关法律法规,对数据安全与隐私保护相关问题进行严格的规范与引导。
2018年欧盟GDPR《General Data Protection Regulation》生效,2021年,欧盟在GDPR中采信由监管机构认可或国家认可机构认可的第三方认证机构颁发的认证证书。2017年6月1日,《中华人民共和国网络安全法》(通常简称《网安法》)颁布实施,2021年11月1日,我国的《个人信息保护法》生效。为规范组织内部个人隐私信息安全管理,满足各国相关隐私保护法律法规的要求,ISO/IEC27701认证需求越来越明显。
什么是ISO27701?
ISO27701隐私信息管理体系(PIMS),是ISOguojibiaozhun化组织和IEC国际电工委员会联合发布的隐私信息管理体系guojibiaozhun,它是对ISO27001信息安全管理体系的扩展,在全球普遍受到认可且具国际quanwei性。
它是ISO标准委员会以ISO27001为基准,以ISO27552为蓝本,建立发布的隐私信息管理体系标准,为保护个人隐私提供指导。ISO/IEC 27701标准的发布,填补了隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并且对PII控制者和PII处理者进行了较为详细且落地性强的规定,给企业在隐私保护和信息安全方面给出了指导建议。
ISO27701通过对隐私保护的控制对ISO27001进行补充,有效协助组织对隐私风险进行识别、分析、采取措施,确保符合gaoji别的隐私保护合规要求,将风险降到可接受水平并维持该水平,Zui终帮助组织建立完善的隐私信息管理体系,实现有效的隐私管理。
适用于什么企业?
ISO27701标准设计的目的在于借助更多的要求增强现有 ISMS,以建立、实施、维护和持续改进隐私信息管理体系 (PIMS)。标准概述了适用于个人身份信息 (PII) 控制者和 PII 处理者的框架, 以有效管理隐私控制,降低个人隐私权面临的风险。
它适用于所有类型和规模的组织,涉及信息领域服务的任何大型或小型组织都可以申请认证,包括公共和私营公司、政府实体以及非盈利组织。
术语介绍
◆PII:个人可识别信息(也译作个人身份信息),可用于识别此类信息相关的 PII主体的任何信息;直接或间接链接到 PII 主体的信息;
◆PII控制者:确定处理PII的目的和手段隐私利益相关者(或隐私利益相关者们),但不包括出于个人目的使用数据的自然人;
◆PII处理者:代表并按照 PII 控制者的说明处理PII的隐私利益相关者。
认证价值
1:满足合规要求
通过明确对PII处理者生命周期的隐私保护要求,可以明确隐私保护管理合规目标,减轻组织合规负担的同时降低组织合规风险。
2:提供竞争优势
借由为个人信息提供Zui高程度的保护,让您从竞争对手之中脱颖而出。
3:完善数据安全能力和风险管理
通过流程分析,在流程的输入、输出、控制各个环节中,识别、分析、验证隐私保护需求,减少甚至消除隐私泄露的风险
4:降低风险
确保风险被识别,且控制措施到位以管理或降低风险。
5:驱使他人对您企业的信任感
让您的客户和利益相关者对其个人数据和信息的安全性更加放心。
6:助力企业发展
提供覆盖不同国家的通用指导方针,为在全球范围内开展业务和获得作为shouxuan供应商的机会提供便利性。
7:增强对个人信息管理的信任
业务伙伴通常会要求PII处理者提供相关证据,来证明其产品能符合适用的隐私管理体系要求。通过得到授权的第三方机构对PII处理者进行审计验证,可以极大地降低合规沟通成本,有助于向公众传达组织的可信度。
ISO27701申请条件
1.企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件。
2.申请方已按照ISO27701标准要求建立体系并实施运行3个月以上。
3.至少完成一次数据保护/隐私影响评估、内部审核,并进行了管理评审。
4.体系运行期间及建立体系前一年内未受到主管部门xingzhengchufa。
认证需要准备的资料
1.公司执照及相关资质(需要时)
2.依据ISO27701标准建立的体系文件(一级和二级文件,至少包含SOA文件和程序文件)
3.体系建立后至少运行3个月以上
4.至少进行一次内部审核、一次管理评审
5.包含PIMS要求的隐私信息安全风险评估资料(至少有风险评估计划、风险处置计划和残余风险报告)
6.适用PIMS要求的法律法规清单
7.运营场所物理平面图及网络拓扑图
8.PII识别处理PII信息流涉及的信息系统、存储介质等清单
9.PII影响评估报告。
