- 質量管理體系認證
- 工程建設施工企業(yè)質量管理體系認證(50430)
- 環(huán)境管理體系認證
- 職業(yè)健康安全管理體系認證
- 能源管理體系認證
- 知識產(chǎn)權管理體系認證
- 信息安全管理體系認證
- 信息技術服務管理體系認證
- 業(yè)務連續(xù)性管理體系認證
- 隱私信息管理體系認證
- 云服務信息安全管理體系認證
- 公有云中個人身份信息保護管理體系認證
- 食品安全管理體系認證
- 危害分析與關鍵控制點(HACCP)體系認證
- 健康、安全與環(huán)境管理體系認證(HSE)
- 醫(yī)療器械質量管理體系認證
- 企業(yè)誠信管理體系認證
- 社會責任管理體系認證
- 資產(chǎn)管理體系認證
- 合規(guī)管理體系認證
- 設施管理體系認證
- 商品售后服務認證
- 物業(yè)服務認證
- 清潔服務認證
- 生活垃圾分類服務能力認證
- 溫室氣體排放核查及碳足跡評價
- 個人身份信息保護行為準則認證
- 信息業(yè)務系統(tǒng)安全管理體系認證
- 道路交通安全管理體系認證
個人身份信息保護行為準則認證簡介
1、背景介紹
近年,隨著互聯(lián)網(wǎng)經(jīng)濟、互聯(lián)網(wǎng)社交的普及,越來越多的系統(tǒng)和平臺收集個人信息并對個人信息進行存儲、處理,甚至交換。個人信息的非法收集、泄露、濫用等已經(jīng)成為社會性關注的焦點問題,個人權益嚴重受損情況屢見不鮮,甚至出現(xiàn)了很多與個人信息濫用有關的 違法犯罪活動。
因此,如何在個人信息安全保護和大數(shù)據(jù)利用之間達成平衡,這已成為新經(jīng)濟時代重要的命題。在信息化、互聯(lián)網(wǎng)、大數(shù)據(jù)時代背景下的個人信息和隱私權保護面臨了諸多困難和挑戰(zhàn)。種種合規(guī)性的需求,促進了個人隱私標準的發(fā)展。
ISO/IEC 29151標準,是國際通行的個人身份信息保護指南,充分控制個人身份信息(PII)相關的風險,適用于任何對隱私保護有需求的組織,對開展個人身份信息保護提供了一個廣泛的指南。
2、標準簡介
ISO/IEC 29151:2017是通用的個人隱私保護標準,基于ISO/IEC 27002的各個域中加入了PII的事實指南,同時引入了ISO/IEC 29100十一大隱私保護原則。標準涵蓋26個控制域,181條控制措施,充分控制個人身份信息(PII)相關的風險和滿足影響評估所確定的要求。主體部分在ISO/IEC 27002的24個控制域基礎上附加36項保護PII的實施指南;附錄部分新增12個控制域,包含30項保護PII的實施指南。
3、實施意義
本標準針對我國IT技術高速發(fā)展中個人信息安全面臨的安全問題,以保護個人信息為核心,規(guī)范個人信息收集、存儲、處理、使用和披露等各個環(huán)節(jié)中數(shù)據(jù)操作的相關行為,進一步加強對個人可識別身份信息風險,進行準確評估并采取有效的控制措施,提高業(yè)務流程的安全性和可靠性,降低IT運營過程中的個人可識別身份信息風險,旨在遏制個人信息濫用亂象,最大程度地保障用戶合法權益和社會公共利益。
4、認證依據(jù)
ISO/IEC 29151:2017
5、ISO/IEC 27701與 ISO/IEC 29151標準的區(qū)別和聯(lián)系
ISO/IEC 27701基于ISO/IEC 27001和ISO/IEC 27002的各個領域,分別對個人可識別信息控制者和個人可識別信息處理者進行規(guī)范和指導,ISO/IEC 29151則是個人身份信息保護的實踐指南,它主要是基于ISO/IEC 27002的各個域中加入了PII的事實指南,并引入了ISO/IEC 29100十一大隱私保護原則,可以說ISO/IEC 27701和ISO/IEC 29151都是ISO/IEC 29100的細化體現(xiàn),ISO/IEC 27701滿足了ISO/IEC 29151的要求,并且從體系角度給予了充分的展示與要求。
區(qū)別一:結構不同
ISO/IEC 27701是ISO/IEC 27001和ISO/IEC 27002在隱私方面的擴展,并為隱私保護提供了除ISO/IEC 27001和ISO/IEC 27002之外的額外指導。
ISO/IEC 29151描述了可被普遍接受的個人可識別身份信息(PII)安全控制措施和風險處理指南,該標準基于ISO/IEC 27002的基本結構,將ISO/IEC 29100中的隱私原則予以對應,形成使用且針對性強的PII保護措施,供組織使用。
區(qū)別二:側重點不同
ISO/IEC 27701是ISO/IEC 27001和ISO/IEC 27002的延伸,側重于隱私信息安全管理。
ISO/IEC 29151是個人信息保護的行為準則、是個人身份信息保護的實踐指南,側重于隱私技術。
區(qū)別三:組織如何選擇
ISO/IEC 27701是基于ISO/IEC 27000信息安全管理體系標準族,適用于所有類型和規(guī)模的組織,包括公共和私營公司、政府機構和非盈利組織,他們是在ISMS中處理PII的控制者或處理者。ISO/IEC 29151是基于ISO/IEC 29100信息技術—安全技術—保密框架標準族,適用于所有類型和規(guī)模的作為PII控制者的組織,包括處理PII的公共和私營公司、政府機構和非盈利組織。
兩者存在的差異使得ISO/IEC 27701認證和ISO/IEC 29151認證不可相互替換,組織可根據(jù)實際情況進行選擇。
ISO/IEC 27701和ISO/IEC 29151均作為隱私方面的標準相互補充,此外,ISO/IEC 27701附錄中與ISO/IEC 29151進行了映射,并且加上如何應用此標準的說明,對于想要整合多項標準的組織而言有著非常好的參考意義。
適用范圍
適用于所有類型和規(guī)模的作為PII控制者的組織,包括處理PII的公共和私營公司、政府機構和非盈利組織。