服務(wù)背景

隨著信息技術(shù)的不斷發(fā)展，人們對信息安全的關(guān)注日益提升，全球多個國家和地區(qū)相繼出臺了一系列隱私保護(hù)的法律法規(guī)，例如歐盟的GDPR，中國的網(wǎng)絡(luò)安全法，以及香港的個人隱私條例等，當(dāng)前幾乎所有的組織都有處理個人信息 (PII) 的情況。面對愈加嚴(yán)格的監(jiān)管趨勢和眾多且復(fù)雜的法律法規(guī), 企業(yè)如何有效的管理和保護(hù)用戶個人信息及隱私?

ISO/IEC27001作為國際上公認(rèn)的信息安全管理體系標(biāo)準(zhǔn)，在隱私保護(hù)方面提供了部分所需的信息安全控制措施，但如何從PII控制者和PII處理者二者不同的角度來實(shí)現(xiàn)和滿足不同國家和地區(qū)的隱私保護(hù)法律法規(guī)的要求，并沒有提供足夠的操作指引。

因此，新標(biāo)準(zhǔn)ISO/IEC27701隱私信息管理體系應(yīng)勢而生。助力企業(yè)為GDPR合規(guī)展現(xiàn)、保護(hù)用戶隱私和個人信息合規(guī)管理提供了更多相關(guān)指南。

服務(wù)概述

2019年8月6日，國際標(biāo)準(zhǔn)化組織ISO和國際電工委員會IEC正式對外發(fā)布ISO/IEC27701隱私信息管理體系標(biāo)準(zhǔn)。這標(biāo)志著信息安全、隱私與個人信息保護(hù)，在國際間法律與法規(guī)的合規(guī)展現(xiàn)有了一致性的標(biāo)準(zhǔn)。

ISO/IEC27701作為ISO/IEC27001與ISO/IEC27002在管理上的延伸標(biāo)準(zhǔn)，其目標(biāo)是通過新增的要求來增強(qiáng)現(xiàn)有信息安全管理體(ISMS),以便建立、實(shí)施、維護(hù)和不斷改進(jìn)隱私信息管理體系(PIMS)，標(biāo)準(zhǔn)概述了適用于個人身份信息(PII)控制者和PII處理者的框架，用于隱私控制管理，以降低對個人隱私的各種風(fēng)險。

(PS: 歐盟GDPR主責(zé)機(jī)構(gòu)，前身為Article 29 Working Party的European Data Protection Board (EDPB)，于ISO/IEC27701的發(fā)展過程中積極參與，并提供歐盟個人信息保護(hù)的相關(guān)建議，如ISO/IEC27701與GDPR的條文對應(yīng)。包含SC27眾會員國與EDPB，JTC1/SC27在各方達(dá)成合意后，公告了ISO/IEC27701.這也是為什么國際間認(rèn)為ISO/IEC27701目前為GDPR合規(guī)展現(xiàn)的優(yōu)秀方案之一。)

這個新標(biāo)準(zhǔn)有什么條款？

ISO/IEC27701主要的內(nèi)容分為8個章節(jié)：

第一至第三章：

主要是適用范圍、參考標(biāo)準(zhǔn)和名詞定義的說明，ISO/IEC27701適用于任何類型的組織，包括政府、事業(yè)單位、金融、教育機(jī)構(gòu)、企業(yè)及非營利組織。

第四章：

標(biāo)準(zhǔn)整體說明，包括PIMS的要求如何應(yīng)對ISO/IEC27001的4~10章管理體系，以及PIMS增項(xiàng)的指引如何應(yīng)對ISO/IEC27002的5~18章的控制措施。

第五章和第六章：

進(jìn)一步引述在第四章提到的PIMS對應(yīng)ISO/IEC27001管理體系要求和ISO/IEC27002控制措施實(shí)施指引。

第七章和第八章：

分別從PII控制者和PII處理者的角度，說明包括搜集和處理個人信息的情況和條件、應(yīng)遵循的個人信息保護(hù)原則、設(shè)計以及預(yù)設(shè)的隱私規(guī)定，以及個人信息的分享、傳輸和揭露的增項(xiàng)要求。

在標(biāo)準(zhǔn)的附錄A~F中還補(bǔ)充了PII控制者和PII處理者可參考的控制目標(biāo)和控制措施，以及對應(yīng)到 ISO/IEC29100、GDPR、ISO/IEC27018、ISO/IEC29151 的條款編號，并且加上如何應(yīng)用此標(biāo)準(zhǔn)的說明，對于想要整合多項(xiàng)標(biāo)準(zhǔn)和遵循GDPR的組織而言有著非常好的參考意義。

服務(wù)流程

步驟1 – 根據(jù)組織的規(guī)模及業(yè)務(wù)類型提供定制化的建議，在您簽署建議書后，審核即可開始。

步驟2 – 提供可選擇的針對準(zhǔn)備情況與薄弱環(huán)節(jié)的“預(yù)審”服務(wù)。

步驟3 – 正式審核。第一階段——準(zhǔn)備情況評估：對組織建立的文件化體系及其他重要體系進(jìn)行評估，提出不符合項(xiàng)。

步驟4 – 第二階段：包括與工作人員面談、文件記錄的檢查以及對工作實(shí)踐的現(xiàn)場考察，提出審核發(fā)現(xiàn)。審核合格后會簽發(fā)證書。

步驟5 – 根據(jù)合同，每半年或一年對體系和整改計劃的實(shí)施進(jìn)行監(jiān)督審核。

步驟6 – 證書簽發(fā)滿3年期后，實(shí)施再認(rèn)證審核。

認(rèn)證益處

1. 可以使用一個體系來管理來自不同國家和地區(qū)的多項(xiàng)隱私法規(guī)和政策的合規(guī)性;

2. 有助于組織向組織的最高管理層、合作伙伴、監(jiān)管機(jī)構(gòu)及其他相關(guān)方提供組織有關(guān)隱私法規(guī)工作的盡職管理證據(jù);

3. 隱私信息管理體系認(rèn)證能向客戶和合作伙伴傳遞信任。

ISO/IEC27701隱私信息管理體系標(biāo)準(zhǔn)作為隱私保護(hù)和個人信息管理的ISO國際標(biāo)準(zhǔn)。不僅帶來新增的特定隱私要求，以便有效整合現(xiàn)行ISO/IEC27001信息安全管理體系，未來更是針對隱私保護(hù)之特定領(lǐng)域 (PIMS-Specific)，以 ISO/IEC27001延伸認(rèn)證的方式實(shí)施，信息安全管理將與隱私信息管理進(jìn)行密切整合。

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202306/ccaa_52017.html