ISO/IEC27701應(yīng)用的背景
數(shù)據(jù)濫用、數(shù)據(jù)竊取、隱私泄露以及“大數(shù)據(jù)殺熟”等數(shù)據(jù)安全問題呈現(xiàn)爆發(fā)趨勢。在此背景下,全球各個國家紛紛頒布相關(guān)法律法規(guī),對數(shù)據(jù)安全與隱私保護相關(guān)問題進行嚴格的規(guī)范與引導(dǎo)。2018年歐盟GDPR《General Data Protection Regulation》生效,2021年,歐盟在GDPR中采信由監(jiān)管機構(gòu)認可或國家認可機構(gòu)認可的第三方認證機構(gòu)頒發(fā)的認證證書。2017年6月1日,《中華人民共和國網(wǎng)絡(luò)安全法》(通常簡稱《網(wǎng)安法》)頒布實施,2021年11月1日,我國的《個人信息保護法》生效。為規(guī)范組織內(nèi)部個人隱私信息安全管理,滿足各國相關(guān)隱私保護法律法規(guī)的要求,ISO/IEC27701認證需求越來越明顯。
ISO/IEC27701
ISO/IEC 27701是對ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隱私擴展,全稱《安全技術(shù)—擴展ISO/IEC 27001和ISO/IEC 27002的隱私信息管理—要求與指南》。它是ISO標準委員會以ISO 27001為基準,以ISO 27552為藍本,建立發(fā)布的隱私信息管理體系標準,為保護個人隱私提供指導(dǎo)。ISO/IEC 27701標準的發(fā)布,填補了隱私信息管理體系的空白,將隱私保護的原則、理念和方法,融入到信息安全保護體系中,并且對PII控制者和PII處理者進行了較為詳細且落地性強的規(guī)定,給企業(yè)在隱私保護和信息安全方面給出了指導(dǎo)建議。
ISO/IEC27701術(shù)語解釋
PII:個人可識別信息 Personally identifiable information,也譯作個人身份信息
PII控制者:確定處理PII的目的和手段隱私利益相關(guān)者,但不包括出于個人目的使用數(shù)據(jù)的自然人
PII處理者:代表并按照 PII 控制者的說明處理PII的隱私利益相關(guān)者
PIMS:隱私信息管理體系
Customer:
PII控制者的customer:與PII控制者有合約關(guān)系的組織,可以是共同控制者PII處理者的customer:與PII處理者有合約關(guān)系的PII控制者
適用行業(yè)
1、金融、醫(yī)療、零售、技術(shù)等數(shù)據(jù)密集型行業(yè)。這些行業(yè)每天處理大量的用戶數(shù)據(jù),包括個人身份信息、交易信息等。這些行業(yè)的公司需要證明他們實施了嚴格的隱私保護措施,以確保客戶的信任和業(yè)務(wù)的連續(xù)性。
2、跨國企業(yè):隨著全球化的發(fā)展,越來越多的跨國企業(yè)需要遵守隱私法規(guī)。ISO27701可以幫助這些企業(yè)確保其全球隱私政策的一致性,并滿足各地區(qū)的隱私法規(guī)。
3、大型互聯(lián)網(wǎng)公司:這些公司擁有大量的用戶數(shù)據(jù),業(yè)務(wù)遍布全球。為了確保用戶數(shù)據(jù)的安全性和合規(guī)性,他們需要一個普遍接受的隱私保護框架。
4、涉及敏感信息的企業(yè):如政府機構(gòu)、能源公司、電信運營商等。這些企業(yè)處理的信息往往非常敏感,因此對隱私保護有更高的要求。
5、需要跨境數(shù)據(jù)傳輸?shù)钠髽I(yè):在當今全球化環(huán)境下,許多企業(yè)需要將數(shù)據(jù)從一個國家傳輸?shù)搅硪粋€國家。這些企業(yè)需要證明他們已經(jīng)采取了適當?shù)碾[私措施,以確保合規(guī)性和保護用戶隱私。
申請流程
1、前提條件
組織應(yīng)已建立同時滿足ISO/IEC27001標準的信息安全管理體系及ISO/IEC 27701標準的隱私信息管理體系,且體系運行時間需不少于三個月。(未強制要求企業(yè)已經(jīng)通過ISO27001認證)
2、參與部門
實施ISO/IEC 27701至少需要組織業(yè)務(wù)部門、技術(shù)研發(fā)部門、客戶服務(wù)部門、信息安全部門和法務(wù)部門
3、實施周期
正常從項目開始啟動,通過差距分析,輔以培訓(xùn),建立隱私信息安全保護體系并推廣實施,經(jīng)第三方機構(gòu)認證審核,整個周期在6-8周
4、所需材料:
包括但不限于:
公司基礎(chǔ)資料 現(xiàn)有業(yè)務(wù)流程
隱私安全管理制度 隱私保護風(fēng)評材料
隱私適用性聲明......
1、公司簡介;
2、公司營業(yè)執(zhí)照;
3、其他相關(guān)資質(zhì)(如ISO27001信息安全管理體系認證、軟件著作權(quán)、專利、商標許可等);
4、公司的組織架構(gòu)圖;
5、公司現(xiàn)有的業(yè)務(wù)流程;
6、公司現(xiàn)有的IT方面的管理制度;
7、特定利益相關(guān)方的期望和要求;
8、隱私信息數(shù)據(jù)的類型等
認證作用
ISO/IEC27701是在隱私保護方面對ISO/IEC27001信息安全管理以及ISO/IEC27002安全控制的進一步拓展,通過提供隱私保護指引,明確角色和責任,對于降低企業(yè)隱私合規(guī)難度,便于企業(yè)提供合規(guī)證明,增強社會各方信任具有重要意義,具體收益如下:
1滿足合規(guī)要求
通過明確對PII處理者生命周期的隱私保護要求,可以明確隱私保護管理合規(guī)目標,減輕組織合規(guī)負擔的同時降低組織合規(guī)風(fēng)險
2完善數(shù)據(jù)安全能力和風(fēng)險管理
提高組織管理數(shù)據(jù)安全和隱私風(fēng)險的能力,通過流程分析,在流程的輸入、輸出、控制各個環(huán)節(jié)中,識別、分析、驗證隱私保護需求,減少甚至消除隱私泄露的風(fēng)險
3增強對個人信息管理的信任
業(yè)務(wù)伙伴通常會要求PII處理者提供相關(guān)證據(jù),來證明其產(chǎn)品能符合適用的隱私管理體系要求。通過得到授權(quán)的第三方機構(gòu)對PII處理者進行審計驗證,可以極大地降低合規(guī)溝通成本,有助于向公眾傳達組織的可信度
中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢,檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu),儀器設(shè)備、耗材、配件、試劑、標準品供應(yīng)商,法規(guī)咨詢、標準服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊,包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息,中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心
免責聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請跟我們聯(lián)系刪除并致歉!
