- 質量管理體系認證
- 工程建設施工企業(yè)質量管理體系認證(50430)
- 環(huán)境管理體系認證
- 職業(yè)健康安全管理體系認證
- 能源管理體系認證
- 知識產(chǎn)權管理體系認證
- 信息安全管理體系認證
- 信息技術服務管理體系認證
- 業(yè)務連續(xù)性管理體系認證
- 隱私信息管理體系認證
- 云服務信息安全管理體系認證
- 公有云中個人身份信息保護管理體系認證
- 食品安全管理體系認證
- 危害分析與關鍵控制點(HACCP)體系認證
- 健康、安全與環(huán)境管理體系認證(HSE)
- 醫(yī)療器械質量管理體系認證
- 企業(yè)誠信管理體系認證
- 社會責任管理體系認證
- 資產(chǎn)管理體系認證
- 合規(guī)管理體系認證
- 設施管理體系認證
- 商品售后服務認證
- 物業(yè)服務認證
- 清潔服務認證
- 生活垃圾分類服務能力認證
- 溫室氣體排放核查及碳足跡評價
- 個人身份信息保護行為準則認證
- 信息業(yè)務系統(tǒng)安全管理體系認證
- 道路交通安全管理體系認證
隱私信息管理體系認證簡介
1、背景介紹
大數(shù)據(jù)時代的到來,為我們帶來了空前的便利,隨著大數(shù)據(jù)在各個領域的滲透逐漸加深,個人隱私泄露的風險也愈加嚴重,人們對信息安全的關注日益提升,全球多個國家和地區(qū)相繼出臺了一系列隱私保護的法律法規(guī),當前幾乎所有的組織都有處理個人信息 (PII) 的情況,保護PII不僅是法律要求,也是社會需要。
因此,新標準ISO/IEC 27701隱私信息管理體系應勢而生。助力組織為GDPR合規(guī)展現(xiàn)、保護用戶隱私和個人信息合規(guī)管理提供了更多相關指南。2019年8月6日,國際標準化組織ISO和國際電工委員會IEC正式對外發(fā)布ISO/IEC 27701隱私信息管理體系標準。這標志著信息安全、隱私與個人信息保護,在國際間法律與法規(guī)的合規(guī)展現(xiàn)有了一致性的標準。
該標準填補了目前隱私信息管理體系的空白,將隱私保護的原則、理念和方法,融入到信息安全保護體系中,并且對PII控制者和PII處理者進行了較為詳細且落地性強的規(guī)定,細化了隱私信息管理的要求,給組織在隱私保護和信息安全方面給出了指導建議。作為一個國際通用的隱私信息管理工具,能夠有效的協(xié)助組織對隱私風險進行識別、分析,采取措施將風險降到可接受水平并維持該水平,并建立隱私保護體系,從管理與技術等多方面滿足國內外的監(jiān)管合規(guī)要求。
2、標準簡介
ISO/IEC 27701作為ISO/IEC 27001與ISO/IEC 27002在管理上的延伸標準,其目標是通過新增的要求來增強現(xiàn)有信息安全管理體系(ISMS),以便建立、實施、維護和不斷改進隱私信息管理體系(PIMS),標準概述了適用于個人身份信息(PII)控制者和PII處理者的框架,用于隱私控制管理,以降低對個人隱私的各種風險。
ISO/IEC 27701標準的正文由8個條款組成,其中:
1) 條款1-4,給出了標準范圍、術語、定義等
2) 條款5給出了ISO/IEC 27001相關的PIMS要求
3) 條款6給出了ISO/IEC 27002相關的PIMS指南
4) 條款7給出了針對PII控制者的ISO/IEC 27002擴展指南
5) 條款8給出了針對PII處理者的ISO/IEC 27002擴展指南
6) 附錄A,針對PII控制者的PIMS特定的控制目標和控制措施
7) 附錄B,針對PII處理者的PIMS特定的控制目標和控制措施
8) 附錄C,與ISO/IEC 29100的對應
9) 附錄D,與GDPR的對應
10) 附錄E,與ISO/IEC 27018和ISO/IEC 29151的對應
11) 附錄F,如何在ISO/IEC 27001和ISO/IEC 27002的基礎上實施ISO/IEC 27701
3、實施意義
? 通過明確對PII控制者和處理者的隱私保護要求,可以使組織明確隱私保護管理合規(guī)目標,減輕組織合規(guī)負擔的同時降低組織合規(guī)風險。
? 實現(xiàn)持續(xù)的個人隱私安全合規(guī)對于任何組織都是一個安全治理的課題,ISO/IEC 27701通過建立PIMS,可以確保組織高級管理層、組織所有者以及關鍵相關方的利益滿足隱私保護要求,從而使組織實現(xiàn)長期、持久的個人隱私安全合規(guī)。
? PIMS認證可以向組織客戶或合作伙伴傳達隱私合規(guī)價值。PII控制者通常會要求PII處理者提供相關證據(jù),從而證明PII處理者的隱私管理體系符合適用的隱私管理要求。通過得到授權的第三方機構對PII處理者進行審計驗證,基于國際標準的統(tǒng)一證據(jù)框架可以極大地降低合規(guī)溝通成本,這種合規(guī)透明度的提高對于組織戰(zhàn)略和業(yè)務決策至關重要,同時PIMS認證也有助于向公眾傳達組織的可信度。
4、認證依據(jù)
ISO/IEC 27701:2019
5、適用范圍
ISO/IEC 27701嵌套在ISO/IEC 27000系列中,并要求符合ISO/IEC 27001標準。適用于所有類型和規(guī)模的需要對個人身份信息進行管理的任何組織,如銀行、保險公司、電信公司、航空公司、 數(shù)據(jù)中心、代理商、非政府組織、醫(yī)院和學校等。
6、隱私安全相關標準之間的關系
為了應對越來越多信息泄露件及個人信息濫用的情況,國際標準化組織ISO也在信息安全、隱私安全、云安全等相關領域發(fā)布了諸多國際標準。
1) ISO/IEC 27002為ISO/IEC 27001提供風險處置具體的控制目標和控制措施指南;
2) 組織依據(jù)ISO/IEC 27001標準建立信息安全管理體系,通過風險管理來保護和管理組織的所有信息,從數(shù)據(jù)安全方面滿足各國隱私法規(guī)的部分要求;
3) ISO/IEC 27017和ISO/IEC 27018是ISO/IEC 27002標準的延伸,ISO/IEC 27017著重于云環(huán)境下的信息安全控制,ISO/IEC 27018著重于公有云個人隱私保護;
4) 擴展ISO/IEC 27001相關的PIMS要求;
5) 擴展ISO/IEC 27002相關的PIMS要求以及PII控制者和處理者的額外要求;
6) ISO/IEC 27701附錄D映射GDPR大部分條款,僅部分條款未被ISO/IEC 27701覆蓋,通過ISO/IEC 27701認證能表明組織符合GDPR的大部分要求,是目前GDPR合規(guī)展現(xiàn)的方式之一;
7) ISO/IEC 29100、ISO/IEC 29134、ISO/IEC 29151、ISO/IEC 27018均為隱私方面的標準,有不同的側重點,與ISO/IEC 27701互為補充。