400-182-7001
微信
ISO27701隐私信息管理

ISO27701隐私信息管理

国际通用的PII保护工具,满足GDPR要求,传递隐私安全信任
  • 专业服务保障
  • 一对一全程指导
  • 高效快捷体验

ISO27701分别对个人可识别信息控制者和个人可识别信息处理者进行规范和指导,从管理体系的角度并遵循PDCA的理念。ISO27701该标准提供了一个国际通用的隐私信息管理工具,对于降低企业隐私合规难度,便利企业提供合规证明,增强社会各方对企业的信任程度具有重要意义。

在线咨询

产品介绍

数据滥用、数据窃取、隐私泄露等数据安全问题呈现爆发趋势,在此背景下,全球各个国家纷纷颁布相关法律法规,如欧盟的GDPR和美国的CCPA对数据安全与隐私保护相关问题进行严格的规范与引导。

ISO27701标准的发布,填补了隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并目对PII控制者和PII处理者进行了较为详细且落地性强的规定,在隐私保护和信息安全方面向企业给出了指导建议。一、ISO 27701是什么

ISO27701隐私信息管理体系(PIMS),是ISO国际标准化组织和IEC国际电工委员会联合发布的隐私信息管理体系国际标准,它是对ISO27001信息安全管理体系的扩展,在全球普遍受到认可且具国际权威性。ISO27701通过对隐私保护的控制对ISO27001进行补充,有效协助组织对隐私风险进行识别、分析、采取措施,确保符合高级别的隐私保护合规要求,将风险降到可接受水平并维持该水平,最终帮助组织建立完善的隐私信息管理体系,实现有效的隐私管理。
二、ISO 27701核心术语解释
  • PII:个人可识别信息(也译作个人身份信息),可用于识别此类信息相关的 PII 主体的任何信息;直接或间接链接到 PII 主体的信息;
  • PII控制者:确定处理PII的目的和手段隐私利益相关者(或隐私利益相关者们),但不包括出于个人目的使用数据的自然人;
  • PII处理者:代表并按照 PII 控制者的说明处理PII的隐私利益相关者。
三、ISO 27701适用对象
ISO27701认证适用于各个行业类别,涉及信息领域服务的任何大型或小型组织都可以申请认证。
包括公有和私营公司、政府实体和非营利组织,通过实施ISO27701标准,能够使组织给他们的监管机构、合作伙伴、客户和雇员等带来更加有力的信任,为组织赢得更多的机遇。
四、ISO 27701的核心内容
包括以下方面:
1、风险评估和治理
组织应该进行个人信息相关的风险评估,并制定相应的风险治理计划,以识别潜在的隐私风险并采取相应的控制措施。
2、法规合规
组织需要遵守适用的隐私法律法规,并确保个人信息处理活动的合规性,包括明确数据处理目的、合法获取个人信息、保护敏感数据等。
3、数据主体权益保护
组织应该确保数据主体对其个人信息的访问、修改和删除等权益得到充分保护,并提供适当的机制来应对数据主体的请求和投诉。
4、内部控制和流程管理
组织需要建立和实施内部控制机制,包括访问控制、员工培训、数据备份和恢复等,以确保个人信息的安全性和保密性。
5、外部供应商管理
组织需要审查和监控与个人信息处理相关的外部供应商,确保其符合隐私要求,并签订合适的合同和协议以保护个人信息的安全。
五、ISO 27701认证价值
1、满足合规要求
通过明确对PII处理者生命周期的隐私保护要求,可以明确隐私保护管理合规目标,减轻组织合规负担的同时降低组织合规风险。
2、完善数据安全能力和风险管理
通过流程分析,在流程的输入、输出、控制各个环节中,识别、分析、验证隐私保护需求,减少甚至消除隐私泄露的风险。
3、增强对个人信息管理的信任
业务伙伴通常会要求PII处理者提供相关证据,来证明其产品能符合适用的隐私管理体系要求。通过得到授权的第三方机构对PII处理者进行审计验证,可以极大地降低合规沟通成本,有助于向公众传达组织的可信度。
六、ISO 27701申请条件
a)企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件。
b)申请方已按照ISO27701标准要求建立体系并实施运行3个月以上
c)至少完成一次数据保护/隐私影响评估、内部审核,并进行了管理评审
d)体系运行期间及建立体系前一年内未受到主管部门行政处罚
七、如何快速通过ISO 27701
a)参与部门
实施ISO27701至少需要组织的业务部门、法律团队、合规团队、网络安全技术部门、数据管理部门配合参与。b)实施周期

正常从项目开始启动,通过差距分析、辅以培训、建立隐私信息安全保护体系并推广实施,经第三方机构认证审核,整个周期在3-5个月

c)所需材料

包括但不限于公司执照及相关资质,PII信息流涉及的信息系统、存储介质等基础资料,现有业务流程体系文件,隐私安全管理制度,隐私保护风评材料(至少有风险评估计划、风险处置计划和残余风险报告),隐私适用性声明,隐私信息影响评估报告,适用PIMS要求的法律法规清单等。

擎标是国内隐私安全合规咨询领域的早期参与者,拥有丰富的隐私安全领域的服务案例,在ISO27701实施上占据优势,如果您有相关需求,欢迎联系我们。

八、证书样本

办理流程

所需材料

1.公司简介

2.公司营业执照

3.其他相关资质(如ISO27001信息安全管理体系认证、软件著作权、专利、商标许可等)

4.公司的组织架构图(部门架构和目前公司的主要人员姓名、归属部门、岗位)

5.公司现有的业务流程

6.公司现有的IT方面的管理制度

7.特定利益相关方的期望和要求

8.隐私信息数据的类型

常见问题

  • ISO27701与各标准之间是什么样的关系?
    a) ISO27701是ISO27001和ISO27002在隐私方面的扩展。 b) ISO27002为ISO27001提供风险处置具体的控制目标和控制措施。 c) ISO29100、ISO27018、ISO29151均为隐私方面的标准,有不同的侧重点,与ISO27701互为补充。 d) ISO27001帮助企业建立ISMS,通过有效的风险管理来保护和管理组织的所有信息,从数据安全方面满足GDPR的部分要求。 e) ISO27701加入了隐私保护的额外要求,更全面地覆盖了GDPR的要求。
  • 证书有效期、年审机制?
    与其他ISO体系一样,证书有效期为三年,每年需进行一次年审
  • ISO27701的认证需要以先通过ISO27001认证为前提吗?
    不需要!ISO27701是独立的可以认证的标准依据,任何组织均可以直接申请认证。有ISO27001认证会对ISO27701的体系落地有帮助,但不是前置条件。

扩展支持服务

全生命周期保障服务 1. 建立基于项目制的PMO工作组,由客户经理和项目经理联合负责跟进项目进度、交付物、满意度等质量活动。
2. 项目生命周期过程中的任何不满,均可以通过公司400电话和在线方式进行投诉反馈。
3. 周期性的回访,以确保项目交付验收后的任何变更、年审、升级或续证等提醒事项。
服务指标 全天候擎标在线,7×12小时的400电话和线上支持,提供现场/远程服务。我们承诺服务响应速度不超过60分钟。我们注重服务效率,在目标时间内保质保量的交付每一次服务。
工具支持 可提供ITSM运维工具、终端保密管理工具、风险评估工具、漏洞扫描工具、BUG管理工具、评估用PIID表、软件建模工具、项目管理工具、知识库管理工具等系列解决方案。
知识中心 1. 通过咨询顾问和培训老师,可获取各类业务相关的标准库、知识库、文档库。
2. 标新领异,我们可提供部分国际最新标准的中文译本和业内的政策动态资讯。
培训增值 1. 擎标每年不定期的举办培训公开课,签约客户均可享受优惠折扣和部分免费名额。
2. 部分基于线上的培训方式,受邀客户可以免费不计人数的参与研讨学习。

相关认证推荐