ISO27701隱私信息管理體系
- 專業(yè)服務(wù)保障
- 一對(duì)一全程指導(dǎo)
- 高效快捷體驗(yàn)
近年來,全球各國(guó)政府及機(jī)構(gòu),紛紛頒布相關(guān)法律法規(guī)、標(biāo)準(zhǔn)規(guī)范,對(duì)數(shù)據(jù)安全與隱私保護(hù)相關(guān)問題進(jìn)行嚴(yán)格的規(guī)范與引導(dǎo)。2019年8月6日,國(guó)際標(biāo)準(zhǔn)化組織ISO和國(guó)際電工委員會(huì)IEC正式對(duì)外發(fā)布ISO/IEC 27701隱私信息管理體系標(biāo)準(zhǔn)。
ISO/IEC 27701隱私信息管理體系標(biāo)準(zhǔn)的發(fā)布,意味著個(gè)人信息與隱私保護(hù)在全球范圍內(nèi)有了全新的一致性標(biāo)準(zhǔn)。
一、ISO27701認(rèn)證是什么?
較為官方的介紹:ISO/IEC 27701是對(duì)ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隱私擴(kuò)展。是一項(xiàng)國(guó)際管理系統(tǒng)標(biāo)準(zhǔn)體系,為保護(hù)個(gè)人隱私提供指導(dǎo),包括組織應(yīng)如何管理個(gè)人信息,并協(xié)助證明遵守了世界各地的隱私法規(guī)。
二、為什么選擇ISO27701認(rèn)證?
ISO27701認(rèn)證為企業(yè)和其他組織提供了一個(gè)國(guó)際通用的隱私信息管理工具,對(duì)于降低企業(yè)隱私合規(guī)難度,便利企業(yè)提供合規(guī)證明,增強(qiáng)社會(huì)各方對(duì)企業(yè)的信任程度具有重要意義。實(shí)施ISO27701隱私信息管理,至少可以獲得如下收益:
1) 合規(guī)。通過明確對(duì)PII處理者的隱私保護(hù)要求,可以明確隱私保護(hù)管理合規(guī)目標(biāo),減輕組織合規(guī)負(fù)擔(dān)的同時(shí)降低了組織合規(guī)風(fēng)險(xiǎn),ISO27701標(biāo)準(zhǔn)附錄D中明確表示,單個(gè)隱私控制點(diǎn)可以滿足GDPR中的多項(xiàng)要求。滿足了ISO27701標(biāo)準(zhǔn)也就意味著基本滿足GDPR的要求,而GDPR是眾多隱私保護(hù)法規(guī)中最為嚴(yán)格的,也就意味著滿足了即將頒布的《隱私保護(hù)法》的系列要求。
2) 完善自身數(shù)據(jù)安全能力和風(fēng)險(xiǎn)管理。實(shí)現(xiàn)持續(xù)完善產(chǎn)品的非功能性要求,進(jìn)而展示出產(chǎn)品在處理個(gè)人隱私安全、安全治理的績(jī)效,通過流程分析,在流程的輸入、輸出、控制過程中,識(shí)別、分析、驗(yàn)證隱私保護(hù)需求、傳遞隱私保護(hù)價(jià)值,減少甚至消除隱私泄露的風(fēng)險(xiǎn),如:體現(xiàn)為采用隱私控制技術(shù)(如日志脫敏、數(shù)據(jù)庫(kù)加密)、產(chǎn)品架構(gòu)(如加密芯片)、技術(shù)路徑(如完整性校驗(yàn))等。
3) PIMS認(rèn)證可以傳遞信任。客戶或合作伙伴,尤其是政府組織、金融機(jī)構(gòu)作為承擔(dān)隱私風(fēng)險(xiǎn)的機(jī)構(gòu),通常為要求PII處理者提供相關(guān)證據(jù)(如PIA分析報(bào)告),從而證明PII處理者的產(chǎn)品能符合使用的隱私管理體系要求。通過得到授權(quán)的第三方機(jī)構(gòu)對(duì)PII處理者進(jìn)行基于國(guó)際標(biāo)準(zhǔn)的審核,可以極大的降低合規(guī)溝通成本,這種合規(guī)透明度的提高對(duì)于組織戰(zhàn)略和業(yè)務(wù)決策至關(guān)重要,同時(shí)PIMS認(rèn)證也有助于向公眾傳達(dá)組織的可信度。
三、ISO27701認(rèn)證條件有哪些?
1、中國(guó)企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營(yíng)業(yè)執(zhí)照》或等效文件;外國(guó)企業(yè)持有關(guān)機(jī)構(gòu)的登記注冊(cè)證明。
2、申請(qǐng)方的信息安全管理體系已按ISO27701標(biāo)準(zhǔn)的要求建立,并實(shí)施運(yùn)行3個(gè)月以上。
3、至少完成一次信息安全風(fēng)險(xiǎn)評(píng)估、內(nèi)部審核,并進(jìn)行了管理評(píng)審。
4、信息安全管理體系運(yùn)行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰。
四、ISO27701認(rèn)證所需要的資料
1、公司簡(jiǎn)介;
2、公司營(yíng)業(yè)執(zhí)照;
3、其他相關(guān)資質(zhì)(如ISO27001信息安全管理體系認(rèn)證、軟件著作權(quán)、專利、商標(biāo)許可等);
4、公司的組織架構(gòu)圖和目前公司的主要人員姓名、歸屬部門、崗位;
5、公司現(xiàn)有的業(yè)務(wù)流程圖;
6、公司現(xiàn)有的IT方面的各項(xiàng)管理制度;
7、特定利益相關(guān)方的期望和要求;
8、隱私信息數(shù)據(jù)的類型。
五、常見問題
問:IS027701與各標(biāo)準(zhǔn)之間是什么樣的關(guān)系?
答: 1、 IS027701是ISO27001和ISO27002在隱私方面的擴(kuò)展。
2、 ISO27002為ISO27001提供風(fēng)險(xiǎn)處置具體的控制目標(biāo)和控制措施。3、ISO29100、ISO27018、ISO29151均為隱私方面的標(biāo)準(zhǔn),有不同的側(cè)重點(diǎn),與ISO27701互為補(bǔ)充。
4、ISO27001幫助企業(yè)建立ISMS,通過有效的風(fēng)險(xiǎn)管理來保護(hù)和管理組織的所有信息,從數(shù)據(jù)安全方面滿足GDPR的部分要求。
5、ISO27701加入了隱私保護(hù)的額外要求,更全面地覆蓋了GDPR的要求。
問:證書有效期、年審機(jī)制?
答:與其他ISO體系一樣,證書有效期為三年,每年需進(jìn)行一次年審。
問:ISO27 701的認(rèn)證需要以先通過IS027001認(rèn)證為前提嗎?
答:不需要! ISO27701是獨(dú)立的可以認(rèn)證的標(biāo)準(zhǔn)依據(jù),任何組織均可以直接申請(qǐng)認(rèn)證。有ISO27001認(rèn)證會(huì)對(duì)ISO27701的體系落地有幫助,但不是前置條件。