ISO27701隐私信息管理体系认证(PIMS)

ISO/IEC27701应用的背景

ISO/IEC27701应用的背景

     数据滥用、数据窃取、隐私泄露以及“大数据杀熟”等数据安全问题呈现爆发趋势。在此背景下，全球各个国家纷纷颁布相关法律法规，对数据安全与隐私保护相关问题进行严格的规范与引导。2018年欧盟GDPR《General Data Protection Regulation》生效，2021年，欧盟在GDPR中采信由监管机构认可或国家认可机构认可的第三方认证机构颁发的认证证书。2017年6月1日，《中华人民共和国网络安全法》（通常简称《网安法》）颁布实施，2021年11月1日，我国的《个人信息保护法》生效。为规范组织内部个人隐私信息安全管理，满足各国相关隐私保护法律法规的要求，ISO/IEC27701认证需求越来越明显。

ISO/IEC27701

     ISO/IEC 27701是对ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隐私扩展，全称《安全技术—扩展ISO/IEC 27001和ISO/IEC 27002的隐私信息管理—要求与指南》。它是ISO标准委员会以ISO 27001为基准，以ISO 27552为蓝本，建立发布的隐私信息管理体系标准，为保护个人隐私提供指导。ISO/IEC 27701标准的发布，填补了隐私信息管理体系的空白，将隐私保护的原则、理念和方法，融入到信息安全保护体系中，并且对PII控制者和PII处理者进行了较为详细且落地性强的规定，给企业在隐私保护和信息安全方面给出了指导建议。

ISO/IEC27701术语解释

     PII：个人可识别信息 Personally identifiable information,也译作个人身份信息

PII控制者：确定处理PII的目的和手段隐私利益相关者，但不包括出于个人目的使用数据的自然人

PII处理者：代表并按照 PII 控制者的说明处理PII的隐私利益相关者

PIMS：隐私信息管理体系

Customer：

PII控制者的customer：与PII控制者有合约关系的组织，可以是共同控制者PII处理者的customer：与PII处理者有合约关系的PII控制者

适用行业

1、金融、医疗、零售、技术等数据密集型行业。这些行业每天处理大量的用户数据，包括个人身份信息、交易信息等。这些行业的公司需要证明他们实施了严格的隐私保护措施，以确保客户的信任和业务的连续性。

2、跨国企业：随着全球化的发展，越来越多的跨国企业需要遵守隐私法规。ISO27701可以帮助这些企业确保其全球隐私政策的一致性，并满足各地区的隐私法规。

3、大型互联网公司：这些公司拥有大量的用户数据，业务遍布全球。为了确保用户数据的安全性和合规性，他们需要一个普遍接受的隐私保护框架。

4、涉及敏感信息的企业：如政府机构、能源公司、电信运营商等。这些企业处理的信息往往非常敏感，因此对隐私保护有更高的要求。

5、需要跨境数据传输的企业：在当今全球化环境下，许多企业需要将数据从一个国家传输到另一个国家。这些企业需要证明他们已经采取了适当的隐私措施，以确保合规性和保护用户隐私。

申请流程 

1、前提条件

组织应已建立同时满足ISO/IEC27001标准的信息安全管理体系及ISO/IEC 27701标准的隐私信息管理体系，且体系运行时间需不少于三个月。（未强制要求企业已经通过ISO27001认证）

2、参与部门

实施ISO/IEC 27701至少需要组织业务部门、技术研发部门、客户服务部门、信息安全部门和法务部门

3、实施周期

正常从项目开始启动，通过差距分析，辅以培训，建立隐私信息安全保护体系并推广实施，经第三方机构认证审核，整个周期在6-8周

4、所需材料：

包括但不限于：

公司基础资料 现有业务流程
隐私安全管理制度 隐私保护风评材料
隐私适用性声明......

1、公司简介；

2、公司营业执照；

3、其他相关资质（如ISO27001信息安全管理体系认证、软件著作权、专利、商标许可等）；

4、公司的组织架构图；

5、公司现有的业务流程；

6、公司现有的IT方面的管理制度；

7、特定利益相关方的期望和要求；

8、隐私信息数据的类型等

认证作用

ISO/IEC27701是在隐私保护方面对ISO/IEC27001信息安全管理以及ISO/IEC27002安全控制的进一步拓展，通过提供隐私保护指引，明确角色和责任，对于降低企业隐私合规难度，便于企业提供合规证明，增强社会各方信任具有重要意义，具体收益如下:

1满足合规要求

通过明确对PII处理者生命周期的隐私保护要求，可以明确隐私保护管理合规目标，减轻组织合规负担的同时降低组织合规风险

2完善数据安全能力和风险管理

提高组织管理数据安全和隐私风险的能力，通过流程分析，在流程的输入、输出、控制各个环节中，识别、分析、验证隐私保护需求，减少甚至消除隐私泄露的风险

3增强对个人信息管理的信任

业务伙伴通常会要求PII处理者提供相关证据，来证明其产品能符合适用的隐私管理体系要求。通过得到授权的第三方机构对PII处理者进行审计验证，可以极大地降低合规沟通成本，有助于向公众传达组织的可信度