一文讀懂ISO/IEC 27701 隱私信息管理體系認證

一、業(yè)務背景

各種業(yè)務服務的數(shù)字化、全球化以及個性化導致個人信息比以往更多地被收集和處理。隨著新的服務機會涌現(xiàn)以及新市場參與者的出現(xiàn)，這一趨勢在持續(xù)不斷的增長。

如今，多種多樣的平臺已成為人們?nèi)粘Ｉ畈豢苫蛉钡囊徊糠?，個人信息在這些平臺中也被廣泛的收集。例如，移動應用、會員計劃、設備互聯(lián)位置廣告。這意味著我們經(jīng)常在未經(jīng)深思熟慮的情況下提供我們的數(shù)據(jù)，從而導致與以往相比，有更多數(shù)據(jù)被隨意傳播。無論是約會網(wǎng)站、電信服務提供商還是公共服務組織，我們幾乎每天都看到有關個人信息被泄露的新聞事件。這使得對個人信息濫用問題的關注不斷增強，也意味著組織對此決不能掉以輕心。

對這些問題充分的認識，已經(jīng)引發(fā)了個人和政府部門在對個人數(shù)據(jù)收集、使用和保護方式上越來越多的關注；為此，一些政府部門擬定或者實施了新的法規(guī)，旨在提供與個人數(shù)據(jù)處理相關的指南和要求。

在歐洲，《通用數(shù)據(jù)保護條例》(GDPR)的推出協(xié)調(diào)了各類數(shù)據(jù)隱私法律，充分反映了我們現(xiàn)在所生活的數(shù)字世界的現(xiàn)實狀況。

許多其他國家/地區(qū)（例如，韓國、澳大利亞和中國）也在制定數(shù)據(jù)保護法規(guī)。由于預期監(jiān)管環(huán)境將日益加強，我們運營所處的環(huán)境在不斷變化，針對組織應當如何管理和處理數(shù)據(jù)，以減少個人信息風險的相關指南重大意義。國際標準化組織(ISO)和國際電工委員會(IEC)發(fā)布的國際標準ISO/IEC27701：2019（Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines）來提供此類指南。

二、業(yè)務介紹

ISO/IEC27701是在隱私保護方面對ISO/IEC27001和ISO/IEC27002的擴展，針對保護可能受到個人信息收集和處理影響的隱私提供了更多相關指南。設計的目的在于借助更多的要求增強現(xiàn)有ISMS，以建立、實施、維護和持續(xù)改進隱私信息管理體系(PIMS)。ISO/IEC27701標準概述了適用于個人身份信息(PII)控制者和PII處理者的框架，以有效管理隱私控制，降低個人隱私權面臨的風險。ISO/IEC27701標準的附加要求和指南對于任何規(guī)模和文化環(huán)境的組織都具有實用性和可用性。

ISO/IEC27701標準的正式發(fā)布，目的在于使組織能夠獲得針對ISO/IEC27701的認證，以此作為ISO/IEC27001管理體系的擴展。計劃尋求通過ISO/IEC27701認證的組織還需要通過ISO/IEC27001認證，以證實對信息安全和隱私信息管理的承諾。

三、實施該業(yè)務的價值

ISO/IEC 27701 該標準為企業(yè)和其他組織提供了一個國際通用的隱私信息管理工具，對于降低企業(yè)隱私合規(guī)難度，便利企業(yè)提供合規(guī)證明，增強社會各方對企業(yè)的信任程度具有重要意義。實施隱私信息管理，至少獲得如下收益：

1) 合規(guī)。通過明確對PII處理者的隱私保護要求，可以明確隱私保護管理合規(guī)目標，減輕組織合規(guī)負擔的同時降低了組織合規(guī)風險，ISO27701標準附錄D中明確表示，單個隱私控制點可以滿足GDPR中的多項要求。滿足了ISO27701標準也就意味著基本滿足GDPR的要求，而GDPR是眾多隱私保護法規(guī)中最為嚴格的。

2) 完善自身數(shù)據(jù)安全能力和風險管理。實現(xiàn)持續(xù)完善產(chǎn)品的非功能性要求，進而展示出產(chǎn)品在處理個人隱私安全、安全治理的績效，通過流程分析，在流程的輸入、輸出、控制過程中，識別、分析、驗證隱私保護需求、傳遞隱私保護價值，減少甚至消除隱私泄露的風險，如：體現(xiàn)為采用隱私控制技術（如日志脫敏、數(shù)據(jù)庫加密）、產(chǎn)品架構(gòu)（如加密芯片）、技術路徑（如完整性校驗）等。

3) PIMS認證可以傳遞信任?？蛻艋蚝献骰锇?，尤其是政府組織、金融機構(gòu)作為承擔隱私風險的機構(gòu)，通常為要求PII處理者提供相關證據(jù)（如PIA分析報告），從而證明PII處理者的產(chǎn)品能符合使用的隱私管理體系要求。通過得到授權的第三方機構(gòu)對PII處理者進行基于國際標準的審核，可以極大的降低合規(guī)溝通成本，這種合規(guī)透明度的提高對于組織戰(zhàn)略和業(yè)務決策至關重要，同時PIMS認證也有助于向公眾傳達組織的可信度。

四、業(yè)務流程

申請認證的組織組織應已建立符合ISO/IEC 27001：2013和ISO/IEC 27701：2019標準要求的管理體系，在申請認證之前應完成內(nèi)部審核和管理評審，并保證體系有效、充分運行三個月以上；

認證分兩個階段進行：第一階段審核，主要進行文件審核并確認第二階段審核準備的充分性；第二階段審核，主要對體系的符合性和有效性進行評價，作出現(xiàn)場審核的推薦結(jié)論；

證書有效期3年，獲得認證后每年進行一次監(jiān)督。

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構(gòu)，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權、版權法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權登記、專利申請、知識產(chǎn)權、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權、版權、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：中國政府網(wǎng)、百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡信息整理，文章版權歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/news/202210/xwif_27313.html