一文讀懂ISO/IEC 27701 隱私信息管理體系認(rèn)證
發(fā)布時間:2025-04-30 點(diǎn)擊:34
一、業(yè)務(wù)背景
各種業(yè)務(wù)服務(wù)的數(shù)字化、全球化以及個性化導(dǎo)致個人信息比以往更多地被收集和處理。隨著新的服務(wù)機(jī)會涌現(xiàn)以及新市場參與者的出現(xiàn),這一趨勢在持續(xù)不斷的增長。
如今,多種多樣的平臺已成為人們?nèi)粘I畈豢苫蛉钡囊徊糠郑瑐€人信息在這些平臺中也被廣泛的收集。例如,移動應(yīng)用、會員計(jì)劃、設(shè)備互聯(lián)位置廣告。這意味著我們經(jīng)常在未經(jīng)深思熟慮的情況下提供我們的數(shù)據(jù),從而導(dǎo)致與以往相比,有更多數(shù)據(jù)被隨意傳播。無論是約會網(wǎng)站、電信服務(wù)提供商還是公共服務(wù)組織,我們幾乎每天都看到有關(guān)個人信息被泄露的新聞事件。這使得對個人信息濫用問題的關(guān)注不斷增強(qiáng),也意味著組織對此決不能掉以輕心。
對這些問題充分的認(rèn)識,已經(jīng)引發(fā)了個人和政府部門在對個人數(shù)據(jù)收集、使用和保護(hù)方式上越來越多的關(guān)注;為此,一些政府部門擬定或者實(shí)施了新的法規(guī),旨在提供與個人數(shù)據(jù)處理相關(guān)的指南和要求。
在歐洲,《通用數(shù)據(jù)保護(hù)條例》(GDPR)的推出協(xié)調(diào)了各類數(shù)據(jù)隱私法律,充分反映了我們現(xiàn)在所生活的數(shù)字世界的現(xiàn)實(shí)狀況。
許多其他國家/地區(qū)(例如,韓國、澳大利亞和中國)也在制定數(shù)據(jù)保護(hù)法規(guī)。由于預(yù)期監(jiān)管環(huán)境將日益加強(qiáng),我們運(yùn)營所處的環(huán)境在不斷變化,針對組織應(yīng)當(dāng)如何管理和處理數(shù)據(jù),以減少個人信息風(fēng)險(xiǎn)的相關(guān)指南重大意義。國際標(biāo)準(zhǔn)化組織(ISO)和國際電工委員會(IEC)發(fā)布的國際標(biāo)準(zhǔn)ISO/IEC27701:2019(Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines)來提供此類指南。
二、業(yè)務(wù)介紹
ISO/IEC27701是在隱私保護(hù)方面對ISO/IEC27001和ISO/IEC27002的擴(kuò)展,針對保護(hù)可能受到個人信息收集和處理影響的隱私提供了更多相關(guān)指南。設(shè)計(jì)的目的在于借助更多的要求增強(qiáng)現(xiàn)有ISMS,以建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)隱私信息管理體系(PIMS)。ISO/IEC27701標(biāo)準(zhǔn)概述了適用于個人身份信息(PII)控制者和PII處理者的框架,以有效管理隱私控制,降低個人隱私權(quán)面臨的風(fēng)險(xiǎn)。ISO/IEC27701標(biāo)準(zhǔn)的附加要求和指南對于任何規(guī)模和文化環(huán)境的組織都具有實(shí)用性和可用性。
ISO/IEC27701標(biāo)準(zhǔn)的正式發(fā)布,目的在于使組織能夠獲得針對ISO/IEC27701的認(rèn)證,以此作為ISO/IEC27001管理體系的擴(kuò)展。計(jì)劃尋求通過ISO/IEC27701認(rèn)證的組織還需要通過ISO/IEC27001認(rèn)證,以證實(shí)對信息安全和隱私信息管理的承諾。
三、實(shí)施該業(yè)務(wù)的價值
ISO/IEC 27701 該標(biāo)準(zhǔn)為企業(yè)和其他組織提供了一個國際通用的隱私信息管理工具,對于降低企業(yè)隱私合規(guī)難度,便利企業(yè)提供合規(guī)證明,增強(qiáng)社會各方對企業(yè)的信任程度具有重要意義。實(shí)施隱私信息管理,至少獲得如下收益:
1) 合規(guī)。通過明確對PII處理者的隱私保護(hù)要求,可以明確隱私保護(hù)管理合規(guī)目標(biāo),減輕組織合規(guī)負(fù)擔(dān)的同時降低了組織合規(guī)風(fēng)險(xiǎn),ISO27701標(biāo)準(zhǔn)附錄D中明確表示,單個隱私控制點(diǎn)可以滿足GDPR中的多項(xiàng)要求。滿足了ISO27701標(biāo)準(zhǔn)也就意味著基本滿足GDPR的要求,而GDPR是眾多隱私保護(hù)法規(guī)中最為嚴(yán)格的。
2) 完善自身數(shù)據(jù)安全能力和風(fēng)險(xiǎn)管理。實(shí)現(xiàn)持續(xù)完善產(chǎn)品的非功能性要求,進(jìn)而展示出產(chǎn)品在處理個人隱私安全、安全治理的績效,通過流程分析,在流程的輸入、輸出、控制過程中,識別、分析、驗(yàn)證隱私保護(hù)需求、傳遞隱私保護(hù)價值,減少甚至消除隱私泄露的風(fēng)險(xiǎn),如:體現(xiàn)為采用隱私控制技術(shù)(如日志脫敏、數(shù)據(jù)庫加密)、產(chǎn)品架構(gòu)(如加密芯片)、技術(shù)路徑(如完整性校驗(yàn))等。
3) PIMS認(rèn)證可以傳遞信任。客戶或合作伙伴,尤其是政府組織、金融機(jī)構(gòu)作為承擔(dān)隱私風(fēng)險(xiǎn)的機(jī)構(gòu),通常為要求PII處理者提供相關(guān)證據(jù)(如PIa分析報(bào)告),從而證明PII處理者的產(chǎn)品能符合使用的隱私管理體系要求。通過得到授權(quán)的第三方機(jī)構(gòu)對PII處理者進(jìn)行基于國際標(biāo)準(zhǔn)的審核,可以極大的降低合規(guī)溝通成本,這種合規(guī)透明度的提高對于組織戰(zhàn)略和業(yè)務(wù)決策至關(guān)重要,同時PIMS認(rèn)證也有助于向公眾傳達(dá)組織的可信度。
四、業(yè)務(wù)流程
申請認(rèn)證的組織組織應(yīng)已建立符合ISO/IEC 27001:2013和ISO/IEC 27701:2019標(biāo)準(zhǔn)要求的管理體系,在申請認(rèn)證之前應(yīng)完成內(nèi)部審核和管理評審,并保證體系有效、充分運(yùn)行三個月以上;
認(rèn)證分兩個階段進(jìn)行:第一階段審核,主要進(jìn)行文件審核并確認(rèn)第二階段審核準(zhǔn)備的充分性;第二階段審核,主要對體系的符合性和有效性進(jìn)行評價,作出現(xiàn)場審核的推薦結(jié)論;
證書有效期3年,獲得認(rèn)證后每年進(jìn)行一次監(jiān)督。
申報(bào)AAA信用評級證書費(fèi)用大概多少錢
企業(yè)保護(hù)知識產(chǎn)權(quán)刻不容緩,還能得政策獎勵
ISO9001實(shí)施的意義
體系認(rèn)證過期有什么影響,iso認(rèn)證過期還可以用嗎?
ISO9001認(rèn)證申請流程及辦理方式介紹
廣州市越秀區(qū)怎么申請食品企業(yè)榮譽(yù)證書質(zhì)量信譽(yù)服務(wù)示范單位
ISO10012:2003與GB/T 19022-2003有什么區(qū)別
iso20000認(rèn)證是什么,iso20000認(rèn)證是什么認(rèn)證
各種業(yè)務(wù)服務(wù)的數(shù)字化、全球化以及個性化導(dǎo)致個人信息比以往更多地被收集和處理。隨著新的服務(wù)機(jī)會涌現(xiàn)以及新市場參與者的出現(xiàn),這一趨勢在持續(xù)不斷的增長。
如今,多種多樣的平臺已成為人們?nèi)粘I畈豢苫蛉钡囊徊糠郑瑐€人信息在這些平臺中也被廣泛的收集。例如,移動應(yīng)用、會員計(jì)劃、設(shè)備互聯(lián)位置廣告。這意味著我們經(jīng)常在未經(jīng)深思熟慮的情況下提供我們的數(shù)據(jù),從而導(dǎo)致與以往相比,有更多數(shù)據(jù)被隨意傳播。無論是約會網(wǎng)站、電信服務(wù)提供商還是公共服務(wù)組織,我們幾乎每天都看到有關(guān)個人信息被泄露的新聞事件。這使得對個人信息濫用問題的關(guān)注不斷增強(qiáng),也意味著組織對此決不能掉以輕心。
對這些問題充分的認(rèn)識,已經(jīng)引發(fā)了個人和政府部門在對個人數(shù)據(jù)收集、使用和保護(hù)方式上越來越多的關(guān)注;為此,一些政府部門擬定或者實(shí)施了新的法規(guī),旨在提供與個人數(shù)據(jù)處理相關(guān)的指南和要求。
在歐洲,《通用數(shù)據(jù)保護(hù)條例》(GDPR)的推出協(xié)調(diào)了各類數(shù)據(jù)隱私法律,充分反映了我們現(xiàn)在所生活的數(shù)字世界的現(xiàn)實(shí)狀況。
許多其他國家/地區(qū)(例如,韓國、澳大利亞和中國)也在制定數(shù)據(jù)保護(hù)法規(guī)。由于預(yù)期監(jiān)管環(huán)境將日益加強(qiáng),我們運(yùn)營所處的環(huán)境在不斷變化,針對組織應(yīng)當(dāng)如何管理和處理數(shù)據(jù),以減少個人信息風(fēng)險(xiǎn)的相關(guān)指南重大意義。國際標(biāo)準(zhǔn)化組織(ISO)和國際電工委員會(IEC)發(fā)布的國際標(biāo)準(zhǔn)ISO/IEC27701:2019(Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines)來提供此類指南。
二、業(yè)務(wù)介紹
ISO/IEC27701是在隱私保護(hù)方面對ISO/IEC27001和ISO/IEC27002的擴(kuò)展,針對保護(hù)可能受到個人信息收集和處理影響的隱私提供了更多相關(guān)指南。設(shè)計(jì)的目的在于借助更多的要求增強(qiáng)現(xiàn)有ISMS,以建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)隱私信息管理體系(PIMS)。ISO/IEC27701標(biāo)準(zhǔn)概述了適用于個人身份信息(PII)控制者和PII處理者的框架,以有效管理隱私控制,降低個人隱私權(quán)面臨的風(fēng)險(xiǎn)。ISO/IEC27701標(biāo)準(zhǔn)的附加要求和指南對于任何規(guī)模和文化環(huán)境的組織都具有實(shí)用性和可用性。
ISO/IEC27701標(biāo)準(zhǔn)的正式發(fā)布,目的在于使組織能夠獲得針對ISO/IEC27701的認(rèn)證,以此作為ISO/IEC27001管理體系的擴(kuò)展。計(jì)劃尋求通過ISO/IEC27701認(rèn)證的組織還需要通過ISO/IEC27001認(rèn)證,以證實(shí)對信息安全和隱私信息管理的承諾。
三、實(shí)施該業(yè)務(wù)的價值
ISO/IEC 27701 該標(biāo)準(zhǔn)為企業(yè)和其他組織提供了一個國際通用的隱私信息管理工具,對于降低企業(yè)隱私合規(guī)難度,便利企業(yè)提供合規(guī)證明,增強(qiáng)社會各方對企業(yè)的信任程度具有重要意義。實(shí)施隱私信息管理,至少獲得如下收益:
1) 合規(guī)。通過明確對PII處理者的隱私保護(hù)要求,可以明確隱私保護(hù)管理合規(guī)目標(biāo),減輕組織合規(guī)負(fù)擔(dān)的同時降低了組織合規(guī)風(fēng)險(xiǎn),ISO27701標(biāo)準(zhǔn)附錄D中明確表示,單個隱私控制點(diǎn)可以滿足GDPR中的多項(xiàng)要求。滿足了ISO27701標(biāo)準(zhǔn)也就意味著基本滿足GDPR的要求,而GDPR是眾多隱私保護(hù)法規(guī)中最為嚴(yán)格的。
2) 完善自身數(shù)據(jù)安全能力和風(fēng)險(xiǎn)管理。實(shí)現(xiàn)持續(xù)完善產(chǎn)品的非功能性要求,進(jìn)而展示出產(chǎn)品在處理個人隱私安全、安全治理的績效,通過流程分析,在流程的輸入、輸出、控制過程中,識別、分析、驗(yàn)證隱私保護(hù)需求、傳遞隱私保護(hù)價值,減少甚至消除隱私泄露的風(fēng)險(xiǎn),如:體現(xiàn)為采用隱私控制技術(shù)(如日志脫敏、數(shù)據(jù)庫加密)、產(chǎn)品架構(gòu)(如加密芯片)、技術(shù)路徑(如完整性校驗(yàn))等。
3) PIMS認(rèn)證可以傳遞信任。客戶或合作伙伴,尤其是政府組織、金融機(jī)構(gòu)作為承擔(dān)隱私風(fēng)險(xiǎn)的機(jī)構(gòu),通常為要求PII處理者提供相關(guān)證據(jù)(如PIa分析報(bào)告),從而證明PII處理者的產(chǎn)品能符合使用的隱私管理體系要求。通過得到授權(quán)的第三方機(jī)構(gòu)對PII處理者進(jìn)行基于國際標(biāo)準(zhǔn)的審核,可以極大的降低合規(guī)溝通成本,這種合規(guī)透明度的提高對于組織戰(zhàn)略和業(yè)務(wù)決策至關(guān)重要,同時PIMS認(rèn)證也有助于向公眾傳達(dá)組織的可信度。
四、業(yè)務(wù)流程
申請認(rèn)證的組織組織應(yīng)已建立符合ISO/IEC 27001:2013和ISO/IEC 27701:2019標(biāo)準(zhǔn)要求的管理體系,在申請認(rèn)證之前應(yīng)完成內(nèi)部審核和管理評審,并保證體系有效、充分運(yùn)行三個月以上;
認(rèn)證分兩個階段進(jìn)行:第一階段審核,主要進(jìn)行文件審核并確認(rèn)第二階段審核準(zhǔn)備的充分性;第二階段審核,主要對體系的符合性和有效性進(jìn)行評價,作出現(xiàn)場審核的推薦結(jié)論;
證書有效期3年,獲得認(rèn)證后每年進(jìn)行一次監(jiān)督。
申報(bào)AAA信用評級證書費(fèi)用大概多少錢
企業(yè)保護(hù)知識產(chǎn)權(quán)刻不容緩,還能得政策獎勵
ISO9001實(shí)施的意義
體系認(rèn)證過期有什么影響,iso認(rèn)證過期還可以用嗎?
ISO9001認(rèn)證申請流程及辦理方式介紹
廣州市越秀區(qū)怎么申請食品企業(yè)榮譽(yù)證書質(zhì)量信譽(yù)服務(wù)示范單位
ISO10012:2003與GB/T 19022-2003有什么區(qū)別
iso20000認(rèn)證是什么,iso20000認(rèn)證是什么認(rèn)證