ISO/IEC27701應(yīng)用的背景

數(shù)據(jù)濫用、數(shù)據(jù)竊取、隱私泄露以及“大數(shù)據(jù)殺熟”等數(shù)據(jù)安全問題呈現(xiàn)爆發(fā)趨勢(shì)。在此背景下，全球各個(gè)國(guó)家紛紛頒布相關(guān)法律法規(guī)，對(duì)數(shù)據(jù)安全與隱私保護(hù)相關(guān)問題進(jìn)行嚴(yán)格的規(guī)范與引導(dǎo)。2018年歐盟GDPR《General Data Protection Regulation》生效，2021年，歐盟在GDPR中采信由監(jiān)管機(jī)構(gòu)認(rèn)可或國(guó)家認(rèn)可機(jī)構(gòu)認(rèn)可的第三方認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書。2017年6月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(通常簡(jiǎn)稱《網(wǎng)安法》)頒布實(shí)施，2021年11月1日，我國(guó)的《個(gè)人信息保護(hù)法》生效。為規(guī)范組織內(nèi)部個(gè)人隱私信息安全管理，滿足各國(guó)相關(guān)隱私保護(hù)法律法規(guī)的要求，ISO/IEC27701認(rèn)證需求越來越明顯。

ISO/IEC27701

ISO/IEC 27701是對(duì)ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隱私擴(kuò)展，全稱《安全技術(shù)—擴(kuò)展ISO/IEC 27001和ISO/IEC 27002的隱私信息管理—要求與指南》。它是ISO標(biāo)準(zhǔn)委員會(huì)以ISO 27001為基準(zhǔn)，以ISO 27552為藍(lán)本，建立發(fā)布的隱私信息管理體系標(biāo)準(zhǔn)，為保護(hù)個(gè)人隱私提供指導(dǎo)。ISO/IEC 27701標(biāo)準(zhǔn)的發(fā)布，填補(bǔ)了隱私信息管理體系的空白，將隱私保護(hù)的原則、理念和方法，融入到信息安全保護(hù)體系中，并且對(duì)PII控制者和PII處理者進(jìn)行了較為詳細(xì)且落地性強(qiáng)的規(guī)定，給企業(yè)在隱私保護(hù)和信息安全方面給出了指導(dǎo)建議。

ISO/IEC27701術(shù)語解釋

PII：個(gè)人可識(shí)別信息 Personally identifiable information,也譯作個(gè)人身份信息

PII控制者：確定處理PII的目的和手段隱私利益相關(guān)者，但不包括出于個(gè)人目的使用數(shù)據(jù)的自然人

PII處理者：代表并按照 PII 控制者的說明處理PII的隱私利益相關(guān)者

PIMS：隱私信息管理體系

Customer：

PII控制者的customer：與PII控制者有合約關(guān)系的組織，可以是共同控制者PII處理者的customer：與PII處理者有合約關(guān)系的PII控制者

適用行業(yè)

1、金融、醫(yī)療、零售、技術(shù)等數(shù)據(jù)密集型行業(yè)。這些行業(yè)每天處理大量的用戶數(shù)據(jù)，包括個(gè)人身份信息、交易信息等。這些行業(yè)的公司需要證明他們實(shí)施了嚴(yán)格的隱私保護(hù)措施，以確?？蛻舻男湃魏蜆I(yè)務(wù)的連續(xù)性。

2、跨國(guó)企業(yè)：隨著全球化的發(fā)展，越來越多的跨國(guó)企業(yè)需要遵守隱私法規(guī)。ISO27701可以幫助這些企業(yè)確保其全球隱私政策的一致性，并滿足各地區(qū)的隱私法規(guī)。

3、大型互聯(lián)網(wǎng)公司：這些公司擁有大量的用戶數(shù)據(jù)，業(yè)務(wù)遍布全球。為了確保用戶數(shù)據(jù)的安全性和合規(guī)性，他們需要一個(gè)普遍接受的隱私保護(hù)框架。

4、涉及敏感信息的企業(yè)：如政府機(jī)構(gòu)、能源公司、電信運(yùn)營(yíng)商等。這些企業(yè)處理的信息往往非常敏感，因此對(duì)隱私保護(hù)有更高的要求。

5、需要跨境數(shù)據(jù)傳輸?shù)钠髽I(yè)：在當(dāng)今全球化環(huán)境下，許多企業(yè)需要將數(shù)據(jù)從一個(gè)國(guó)家傳輸?shù)搅硪粋€(gè)國(guó)家。這些企業(yè)需要證明他們已經(jīng)采取了適當(dāng)?shù)碾[私措施，以確保合規(guī)性和保護(hù)用戶隱私。

申請(qǐng)流程

1、前提條件

組織應(yīng)已建立同時(shí)滿足ISO/IEC27001標(biāo)準(zhǔn)的信息安全管理體系及ISO/IEC 27701標(biāo)準(zhǔn)的隱私信息管理體系，且體系運(yùn)行時(shí)間需不少于三個(gè)月。(未強(qiáng)制要求企業(yè)已經(jīng)通過ISO27001認(rèn)證)

2、參與部門

實(shí)施ISO/IEC 27701至少需要組織業(yè)務(wù)部門、技術(shù)研發(fā)部門、客戶服務(wù)部門、信息安全部門和法務(wù)部門

3、實(shí)施周期

正常從項(xiàng)目開始啟動(dòng)，通過差距分析，輔以培訓(xùn)，建立隱私信息安全保護(hù)體系并推廣實(shí)施，經(jīng)第三方機(jī)構(gòu)認(rèn)證審核，整個(gè)周期在6-8周

4、所需材料：

包括但不限于：

公司基礎(chǔ)資料 現(xiàn)有業(yè)務(wù)流程

隱私安全管理制度 隱私保護(hù)風(fēng)評(píng)材料

隱私適用性聲明......

1、公司簡(jiǎn)介;

2、公司營(yíng)業(yè)執(zhí)照;

3、其他相關(guān)資質(zhì)(如ISO27001信息安全管理體系認(rèn)證、軟件著作權(quán)、專利、商標(biāo)許可等);

4、公司的組織架構(gòu)圖;

5、公司現(xiàn)有的業(yè)務(wù)流程;

6、公司現(xiàn)有的IT方面的管理制度;

7、特定利益相關(guān)方的期望和要求;

8、隱私信息數(shù)據(jù)的類型等

認(rèn)證作用

ISO/IEC27701是在隱私保護(hù)方面對(duì)ISO/IEC27001信息安全管理以及ISO/IEC27002安全控制的進(jìn)一步拓展，通過提供隱私保護(hù)指引，明確角色和責(zé)任，對(duì)于降低企業(yè)隱私合規(guī)難度，便于企業(yè)提供合規(guī)證明，增強(qiáng)社會(huì)各方信任具有重要意義，具體收益如下:

1滿足合規(guī)要求

通過明確對(duì)PII處理者生命周期的隱私保護(hù)要求，可以明確隱私保護(hù)管理合規(guī)目標(biāo)，減輕組織合規(guī)負(fù)擔(dān)的同時(shí)降低組織合規(guī)風(fēng)險(xiǎn)

2完善數(shù)據(jù)安全能力和風(fēng)險(xiǎn)管理

提高組織管理數(shù)據(jù)安全和隱私風(fēng)險(xiǎn)的能力，通過流程分析，在流程的輸入、輸出、控制各個(gè)環(huán)節(jié)中，識(shí)別、分析、驗(yàn)證隱私保護(hù)需求，減少甚至消除隱私泄露的風(fēng)險(xiǎn)

3增強(qiáng)對(duì)個(gè)人信息管理的信任

業(yè)務(wù)伙伴通常會(huì)要求PII處理者提供相關(guān)證據(jù)，來證明其產(chǎn)品能符合適用的隱私管理體系要求。通過得到授權(quán)的第三方機(jī)構(gòu)對(duì)PII處理者進(jìn)行審計(jì)驗(yàn)證，可以極大地降低合規(guī)溝通成本，有助于向公眾傳達(dá)組織的可信度

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202405/ccaa_62505.html