人人搞人人摸_人人插人人干_人人插人人操_人人叉

×

搜索你所關注的

搜索建議

ISO9001 ISO14001 ISO45001 GB/T50430

ISO27701隱私信息管理體系認證

專業服務保障 一對一全程指導 高效快捷體驗
ISO/IEC27701隱私信息管理體系標準作為ISO/IEC27001與ISO/IEC27002在管理上的延伸標準,其目標是通過新增的要求來增強現有信息安全管理體系(ISMS),以便建立、實施、維護和不斷改進隱私信息管理體系(PIMS),標準概述了適用于個人身份信息(PII)控制者和PII處理者的框架,用于隱私控制管理,以降低對個人隱私的各種風險。
ISO27701隱私信息管理體系認證概述

業務挑戰

隨著信息技術的不斷發展,人們對信息安全的關注日益提升,全球多個國家和地區相繼出臺了一系列隱私保護的法律法規,例如歐盟的GDPR,中國的網絡安全法,以及香港的個人隱私條例等,當前幾乎所有的組織都有處理個人信息 (PII) 的情況。


面對愈加嚴格的監管趨勢和眾多且復雜的法律法規, 企業如何有效的管理和保護用戶個人信息及隱私?

個人隱私安全管理體系國際標準。


ISO/IEC27001作為國際上公認的信息安全管理體系標準,在隱私保護方面提供了部分所需的信息安全控制措施,但如何從PII控制者和PII處理者二者不同的角度來實現和滿足不同國家和地區的隱私保護法律法規的要求,并沒有提供足夠的操作指引。


因此,新標準ISO/IEC27701隱私信息管理體系應勢而生。助力企業為GDPR合規展現、保護用戶隱私和個人信息合規管理提供了更多相關指南。


服務概述

2019年8月6日,國際標準化組織ISO和國際電工委員會IEC正式對外發布ISO/IEC27701隱私信息管理體系標準。這標志著信息安全、隱私與個人信息保護,在國際間法律與法規的合規展現有了一致性的標準。


ISO/IEC27701作為ISO/IEC27001與ISO/IEC27002在管理上的延伸標準,其目標是通過新增的要求來增強現有信息安全管理體(ISMS),以便建立、實施、維護和不斷改進隱私信息管理體系(PIMS),標準概述了適用于個人身份信息(PII)控制者和PII處理者的框架,用于隱私控制管理,以降低對個人隱私的各種風險。


(PS: 歐盟GDPR主責機構,前身為Article 29 Working Party的European Data Protection Board (EDPB),于ISO/IEC27701的發展過程中積極參與,并提供歐盟個人信息保護的相關建議,如ISO/IEC27701與GDPR的條文對應。包含SC27眾會員國與EDPB,JTC1/SC27在各方達成合意后,公告了ISO/IEC27701,這也是為什么國際間認為ISO/IEC27701目前為GDPR合規展現的優秀方案之一。)


ISO27701認證的主要目標是什么?

通過PIMS的擴展以及與隱私相關的控制來增強現有的信息安全管理體系(ISMS),簡化復雜的重疊隱私法的管理,創建一個以證據為基礎的隱私計劃,并通過公認的認證形式表明該計劃的合規性,并作為潛在的GDPR合規性的基礎。


現在發布的ISO27701認證標準還實現了其他一些目的。一方面,它充當PIMS與ISMS或ISO27001之間關系和連接的概述。它還詳述了所需的功能,并列出了PIMS數據處理器和控制器的隱私控制。在更大范圍內,ISO27701認證將信息隱私要求映射到相關的ISO標準和GDPR。

ISO27701隱私信息管理體系認證益處

1. 可以使用一個體系來管理來自不同國家和地區的多項隱私法規和政策的合規性;

2. 有助于組織向組織的最高管理層、合作伙伴、監管機構及其他相關方提供組織有關隱私法規工作的盡職管理證據;

3. 隱私信息管理體系認證能向客戶和合作伙伴傳遞信任。


ISO/IEC27701隱私信息管理體系標準作為隱私保護和個人信息管理的ISO國際標準。不僅帶來新增的特定隱私要求,以便有效整合現行ISO/IEC27001信息安全管理體系,未來更是針對隱私保護之特定領域 (PIMS-Specific),以 ISO/IEC27001延伸認證的方式實施,信息安全管理將與隱私信息管理進行密切整合。

ISO27701隱私信息管理體系認證條件

如何實施ISO27001認證?

要求供應商代表他們處理和維護PII的客戶應考慮合同規定這些供應商不僅要遵守ISO27001,而且要符合ISO27701,或者在適用于數據敏感性的情況下獲得ISO27701標準的認證。即使客戶不要求供應商通過獨立的第三方認證也符合新標準ISO27701認證,他們仍可能希望更新合同以確保供應商可以符合ISO27701認證的要求。由于ISO27701認證仍然非常對于新合同,賣方應遵守本新標準的規定合理的時間延遲,以便將其包括在這些合同中。


已通過ISO27001認證并希望實施ISO27701要求的組織應考慮采取以下步驟:

1)對現有ISMS進行符合ISO27701認證要求的差距評估,并就如何解決這些差距制定行動計劃。

2)對組織收集的PII進行數據映射,以了解收集的PII的范圍以及如何使用和與處理器共享。

3)根據與組織環境相關的內部或外部因素(例如適用的隱私法規,法規,司法決定或合同要求)確定組織作為控制者和/或處理者的角色。

4)查看并更新隱私策略,以確保它們包含必需的信息。

5)制定適用于組織角色的政策和程序。

6)通過設計和默認原則開始規劃和實施隱私。


在世界各地,立法者和監管者都在引入新的法律來規范數據的使用,尤其是PII。最近,GDPR的出現使許多企業(包括客戶和供應商)爭相達成合規性。不斷變化的法律環境給所有企業帶來了挑戰,尤其是必須遵守多個司法管轄區法規的企業。新的ISO27701認證標準不會嘗試單獨和本地處理每項新法律,而是提供一種統一的方式來決定,計劃,實施和記錄組織在全球范圍內的數據隱私方法。


無論組織的規模大小,是PII的控制者還是處理者,企業都應考慮為自己的組織或向供應商要求獲得ISO27701認證。對于處理敏感或大量PII的處理器,子處理器和聯合控制器尤其如此。

認證流程

更多服務推薦 換一批
網站首頁 撥打電話 在線咨詢