ISO/IEC 27701是对ISO/IEC 27001信息安全管理和ISO/IEC27002安全控制的隐私扩展,全称《安全技术—扩展ISO/IEC 27001和ISO/IEC27002的隐私信息管理—要求与指南》。它是ISO标准委员会以ISO 27001为基准,以ISO27552为蓝本,建立发布的隐私信息管理体系标准,为保护个人隐私提供指导。ISO/IEC27701标准的发布,填补了隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并且对PII控制者和PII处理者进行了较为详细且落地性强的规定,给企业在隐私保护和信息安全方面给出了指导建议。
ISO/IEC 27001与27701
ISO/IEC 27701由负责“身份管理和隐私技术”的 ISO/IEC工作组起草,并由BSI提名的项目编辑 (ProjectEditor) 领导开发。BSI是英国政府任命的国家标准机构,在 ISO 和 IEC 中代表英国的利益。
标准的正式发布,目的在于使组织能够获得针对 ISO/IEC 27701 的认证,以此作为 ISO/IEC 27001管理体系的扩展。换言之,计划寻求通过 ISO/IEC 27701 认证的组织还将需要通过 ISO/IEC 27001认证,彰显组织对信息安全和隐私管理的承诺。
02
认证流程
步骤1 –根据组织的规模及业务类型提供定制化的建议,在您签署建议书后,审核即可开始。
步骤2 –提供可选择的针对准备情况与薄弱环节的“预审”服务。
步骤3–正式审核。第一阶段——准备情况评估:对组织建立的文件化体系及其他重要体系进行评估,提出不符合项。办理ISO27701隐私信息管理体系认证流程
步骤4 –第二阶段:包括与工作人员面谈、文件记录的检查以及对工作实践的现场考察,提出审核发现。审核合格后会签发证书。
步骤5 –根据合同,每半年或一年对体系和整改计划的实施进行监督审核。办理ISO27701隐私信息管理体系认证流程
步骤6 –证书签发满3年期后,实施再认证审核。
ISO/IEC 27701的适用性
它适用于所有类型和规模的组织,包括公有和私营公司、政府实体和非营利组织,在信息安全管理体系(ISMS)中实施PII。
该标准设计的目的在于借助更多的要求增强现有 ISMS,以建立、实施、维护和持续改进隐私信息管理体系(PIMS)。标准概述了适用于个人身份信息 (PII) 控制者和 PII 处理者的框架,以有效管理隐私控制,降低个人隐私权面临的风险。
03
认证优势
1、在利益相关方之间提供透明度
2、有助于增强信任
3、提供更具协作性的方法
4、更有效的业务协议
5、更清晰的角色和职责
6、通过与 ISO/IEC 27001 相结合减少复杂性
ISO/IEC 27701认证的好处
符合ISO 27701认证要求符合ISO 27001的要求。他们旨在相互补充。遵循ISO27701认证要求的组织将创建有关其如何处理PII的书面证据,可用于促进与PII的处理相关的业务伙伴的协议,并阐明组织与其他利益相关者的PII的处理。GDPR尚无认可的认证方法,但根据Zui近的报道,ISO27701认证可能会在不久的将来改变这一现状。
04
申请条件
1、企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件。
2、申请方已按照ISO27701标准要求建立体系并实施运行3个月以上。
3、至少完成一次数据保护/隐私影响评估、内部审核,并进行了管理评审。
4、体系运行期间及建立体系前一年内未受到主管部门xingzhengchufa。
ISO/IEC 27701认证的目的
通过PMS的扩展以及与隐私相关的控制来增强现有的信息安全管理体系(SMS),简化复杂重叠隐私法的管理,创建一个以证据为基础的隐私计划,并通过公认的认证形式表明该计划的合规性,并作为潜在的GDPR合规性的基础。
现在发布的ISO 27701认证标准还实现了其他一些目的。一方面,它充当PIMS与ISMS或ISO27001之间关系和连接的概述。它还详述了所需的功能,并列出了PIMS数据处理器和控制器的隐私控制。在更大范围内,ISO27701认证将信息隐私要求映射到相关的ISO标准和GDPR。
