在大数据时代,各行各业对数字化的需求和依赖越来越高。随之而来的数据滥用、隐私泄露以及“大数据杀熟”等数据安全问题呈现爆发趋势。在此背景下,全球各个国家纷纷颁布相关法律法规,对数据安全与隐私保护相关问题进行严格的规范与引导。我国已发布实施《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》。
ISO/IEC27701:2019标准的发布,填补了隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并且对PII(个人可识别信息)控制者和PII处理者进行了较为详细且落地性强的规定,在隐私保护和信息安全方面向企业给出了指导建议。
一、什么是ISO/IEC 27701隐私信息管理体系认证?
ISO/IEC27701是化组织发布的隐私信息管理体系标准,全称《安全技术—扩展ISO/IEC 27001和ISO/IEC27002的隐私信息管理—要求与指南》。
ISO/IEC 27701是对ISO/IEC 27001信息安全管理和ISO/IEC27002安全控制的隐私扩展。是一项国际管理系统标准体系,为保护个人隐私提供指导,包括组织应如何管理个人信息,并协助证明遵守了世界各地的隐私法规。
为更好地理解新标准,需要弄清两个关键术语:控制者和处理者。这两个术语在很多隐私法律和规定中都能见到,包括GDPR。通常,“控制者” 是指示为什么要收集和处理 PII 的实体,“处理者”是代表该控制者负责处理此数据的另一个法律实体(非员工)。
二、ISO/IEC 27701隐私信息管理体系认证流程
1–根据组织的规模及业务类型提供定制化的建议,在您签署建议书后,审核即可开始。
2–提供可选择的针对准备情况与薄弱环节的“预审”服务。
3–正式审核。阶段——准备情况评估:对组织建立的文件化体系及其他重要体系进行评估,提出不符合项。办理ISO27701隐私信息管理体系认证流程
4–第二阶段:包括与工作人员面谈、文件记录的检查以及对工作实践的现场考察,提出审核发现。审核合格后会签发证书。
5–根据合同,每半年或一年对体系和整改计划的实施进行监督审核。办理ISO27701隐私信息管理体系认证流程
6–证书签发满3年期后,实施再认证审核。
三、ISO/IEC 27701隐私信息管理体系认证的好处
1、帮助组织降低个人隐私、组织隐私和数据泄露的风险;
2、可以使用一个体系来管理来自不同国家和地区的多项隐私法规和政策的合规性;
3、帮助组织大化IT治理过程,提升客户信任度、满意度和品牌声誉;
4、通过该认证的组织意味着其隐私信息管理能力达到国际水平。
四、ISO/IEC27701隐私信息管理体系认证条件
1、企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件。
2、申请方已按照ISO27701标准要求建立体系并实施运行3个月以上。
3、至少完成一次数据保护/隐私影响评估、内部审核,并进行了管理评审。
4、体系运行期间及建立体系前一年内未受到主管部门xingzhengchufa。
五、ISO/IEC27701隐私信息管理体系适用范围
ISO/IEC27701认证适用于各个行业类别,涉及信息领域服务的任何大型或小型组织都可以申请认证。
该标准设计的目的在于借助更多的要求增强现有 ISMS,以建立、实施、维护和持续改进隐私信息管理体系(PIMS)。标准概述了适用于个人身份信息 (PII) 控制者和 PII 处理者的框架,以有效管理隐私控制,降低个人隐私权面临的风险。
六、ISO/IEC 27701隐私信息管理体系认证优势
1、在利益相关方之间提供透明度
2、有助于增强信任
3、提供更具协作性的方法
4、更有效的业务协议
5、更清晰的角色和职责
6、通过与 ISO/IEC 27001相结合减少复杂性
七、证书有效期
ISO27001的认证证书有效期是三年,期间每年要接受发证机构的监督审核(也称为:年检或年审),三年证书到期后,要接受认证机构的再认证(也称为复评或换证)。