一、ISO/IEC27701是什么?
ISO27701是隱私信息管理體系。
ISO27701認(rèn)證最初開發(fā)為ISO/IEC27552,它為建立,實(shí)施,維護(hù)和持續(xù)改進(jìn)隱私信息安全管理體系(PIMS)提供了特定要求和指導(dǎo),作為對(duì)ISO27001中定義的靈活信息安全管理體系(ISMS)的擴(kuò)展。除了信息安全之外,還應(yīng)考慮到處理PII所需的隱私保護(hù)。像ISO27001認(rèn)證標(biāo)準(zhǔn)一樣,ISO27701認(rèn)證并不希望組織在所有情況下都采用每種控件。相反,它要求組織了解處理PII的特定上下文,并以適合其處理活動(dòng)的方式調(diào)整特定的控件集以及這些控件的相關(guān)實(shí)現(xiàn)。為了更好地理解新標(biāo)準(zhǔn)ISO27701認(rèn)證,應(yīng)該理解兩個(gè)關(guān)鍵術(shù)語:控制器和處理器。這些術(shù)語可在包括GDPR在內(nèi)的許多隱私法律和法規(guī)中找到。通常,“控制者”是指示首先收集和處理PII的原因的實(shí)體,“處理者”是負(fù)責(zé)代表該個(gè)人處理此類數(shù)據(jù)的獨(dú)立法律實(shí)體(即,不是雇員)。簡而言之,ISO27701認(rèn)證是ISO27001認(rèn)證的增強(qiáng)擴(kuò)展。該標(biāo)準(zhǔn)可以提供通用數(shù)據(jù)保護(hù)法規(guī)(GDPR)要求的數(shù)據(jù)隱私和信息安全標(biāo)準(zhǔn)。為了有效地管理隱私,它包含用于個(gè)人身份信息(PII)處理器和控制器的結(jié)構(gòu)。實(shí)施ISO27701將創(chuàng)建一個(gè)隱私信息安全管理體系,簡稱PIMS。
使用ISO27701認(rèn)證作為數(shù)據(jù)安全性標(biāo)準(zhǔn),可以向客戶和利益相關(guān)者展示您的公司支持GDPR合規(guī)性和隱私法規(guī)。此外,它還可以確保您擁有他們可以信任的有效系統(tǒng)。通過使用控件降低個(gè)人和公司的潛在信息安全和隱私風(fēng)險(xiǎn),您可以創(chuàng)建一個(gè)更值得信賴的品牌。
二、ISO27701隱私信息管理體系認(rèn)證的好處有哪些?
ISO/IEC 27701 該標(biāo)準(zhǔn)為企業(yè)和其他組織提供了一個(gè)國際通用的隱私信息管理工具,對(duì)于降低企業(yè)隱私合規(guī)難度,便利企業(yè)提供合規(guī)證明,增強(qiáng)社會(huì)各方對(duì)企業(yè)的信任程度具有重要意義。實(shí)施隱私信息管理,至少獲得如下收益:
1、合規(guī)。通過明確對(duì)PII處理者的隱私保護(hù)要求,可以明確隱私保護(hù)管理合規(guī)目標(biāo),減輕組織合規(guī)負(fù)擔(dān)的同時(shí)降低了組織合規(guī)風(fēng)險(xiǎn)。
2、完善自身數(shù)據(jù)安全能力和風(fēng)險(xiǎn)管理。實(shí)現(xiàn)持續(xù)完善產(chǎn)品的非功能性要求,進(jìn)而展示出產(chǎn)品在處理個(gè)人隱私安全、安全治理的績效,通過流程分析,在流程的輸入、輸出、控制過程中,識(shí)別、分析、驗(yàn)證隱私保護(hù)需求、傳遞隱私保護(hù)價(jià)值,減少甚至消除隱私泄露的風(fēng)險(xiǎn),如:體現(xiàn)為采用隱私控制技術(shù)(如日志脫敏、數(shù)據(jù)庫加密)、產(chǎn)品架構(gòu)(如加密芯片)、技術(shù)路徑(如完整性校驗(yàn))等。
3、PIMS認(rèn)證可以傳遞信任,極大的降低合規(guī)溝通成本,也有助于向公眾傳達(dá)組織的可信度。
三、ISO27701認(rèn)證申請資料清單
1、法律證明文件(營業(yè)執(zhí)照機(jī)構(gòu)成立批文);
2、生產(chǎn)許可證/資質(zhì)證書/強(qiáng)制性認(rèn)證證書等的復(fù)印件(根據(jù)國家及行業(yè)、部門的法律法規(guī)和標(biāo)準(zhǔn)要求);
3、有效的管理體系文件(質(zhì)量手冊、程序文件等);
4、申請認(rèn)證的產(chǎn)品/服務(wù)的相關(guān)活動(dòng)的簡介認(rèn)證范圍涉及的多場所、在建項(xiàng)目、臨時(shí)服務(wù)點(diǎn)清單(適用時(shí));
5、認(rèn)證范圍所涉及的必須遵守的法律、法規(guī)、標(biāo)準(zhǔn)清單和守法記錄(如事故記錄、違反法律法規(guī)或規(guī)章的記錄);
6、產(chǎn)品實(shí)現(xiàn)工藝流程圖或服務(wù)提供過程流程圖 ;
7、近兩年國家或行業(yè)主管部門抽查報(bào)告(如有);
8、不可接受風(fēng)險(xiǎn)清單 ;
9、有毒有害作業(yè)場所勞動(dòng)衛(wèi)生監(jiān)測報(bào)告 ;
10、消防驗(yàn)收報(bào)告,安全生產(chǎn)許可證、特種設(shè)備檢驗(yàn)報(bào)告等(適用時(shí))。
四、ISO27701認(rèn)證證書有效期是多久?是否需要年審?
ISO/IEC27701隱私信息管理體系認(rèn)證證書有效期為:3年。需要年審!
以上內(nèi)容可能會(huì)隨著時(shí)間及相關(guān)部門新規(guī)新標(biāo)準(zhǔn)而發(fā)生變化,因此以上內(nèi)容僅供參考,
詳情請咨詢在線客服或撥打頁面電話進(jìn)行實(shí)時(shí)新資訊的獲取。