一、ISO/IEC27701是什么?
ISO27701是隐私信息管理体系。
ISO/IEC 27701是对ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隐私扩展。它是一项国际管理系统标准体系,为保护个人隐私提供指导,包括组织应如何管理个人信息,并协助证明遵守了世界各地的隐私法规。
除了信息安全之外,还应考虑到处理PII所需的隐私保护。像ISO27001认证标准一样,ISO27701认证并不希望组织在所有情况下都采用每种控件。相反,它要求组织了解处理PII的特定上下文,并以适合其处理活动的方式调整特定的控件集以及这些控件的相关实现。为了更好地理解新标准ISO27701认证,应该理解两个关键术语:控制器和处理器。这些术语可在包括GDPR在内的许多隐私法律和法规中找到。通常,“控制者”是指首先收集和处理PII的原因的实体,“处理者”是负责代表该个人处理此类数据的独立法律实体(即,不是雇员)。简而言之,ISO27701认证是ISO27001认证的增强扩展。该标准可以提供通用数据保护法规(GDPR)要求的数据隐私和信息安全标准。为了有效地管理隐私,它包含用于个人身份信息(PII)处理器和控制器的结构。实施ISO27701将创建一个隐私信息安全管理体系,简称PIMS。
使用ISO27701认证作为数据安全性标准,可以向客户和利益相关者展示您的公司支持GDPR合规性和隐私法规。此外,它还可以确保您拥有他们可以信任的有效系统。通过使用控件降低个人和公司的潜在信息安全和隐私风险,您可以创建一个更值得信赖的品牌。
二、ISO27701隐私信息管理体系认证的好处有哪些?
ISO/IEC 27701 该标准为企业和其他组织提供了一个国际通用的隐私信息管理工具,对于降低企业隐私合规难度,便利企业提供合规证明,增强社会各方对企业的信任程度具有重要意义。实施隐私信息管理,至少获得如下收益:
1、增强对个人信息管理的信任;
2、在利益相关方之间提供透明度;
3、促进达成有效的业务协议;
4、明确角色和责任;
5、支持遵循隐私法规;
6、通过与领先的信息安全标准ISO/IEC 27001整合,降低复杂性。
三、哪些企业适合申请ISO27701
ISO/IEC27701认证向在信息安全管理体系中负责PII(个人身份信息)处理的任何组织提供指南。各种规模和类型的组织,包括上市公司和私营公司以及政府实体和其他类型的组织,都可以从中受益。它提供了一种基于风险的方法,可以帮助组织应对所面临的特定隐私风险以及个人数据和隐私风险。
总之,ISO 27701隐私信息安全管理体系认证是对企业隐私保护能力的一次全面评估,可以帮助企业提高隐私保护水平,减少潜在风险和损失,赢得客户和合作伙伴的信任和支办持理。ISO 27701认证需要经过一系列步骤,包括评估企业现状、制定有效的隐私保护政策和程序、实施隐私保护培训和意识教育、建立和维护隐私保护管理体系、提交认证申请等。
1. 申请认证
首先,组织需要向认证机构提出认证申请,并提供相关的基本信息,如组织名称、地址、联系方式、业务范围等。同时,组织还需要准备一份认证申请书,包括认证的目的、范围、标准、体系文件等信息。
2. 审核方案
认证机构会对组织的认证申请书进行审核,并确定审核方案。审核方案包括审核的目的、范围、标准、审核方法、审核日期等。
3. 审核准备
组织需要根据审核方案,准备相应的文件和资料,包括体系文件、管理手册、程序文件、记录文件等。同时,组织需要进行内部审核,以确认其业务连续性管理体系是否符合标准要求。
4. 现场审核
认证机构会对组织的业务连续性管理体系进行现场审核,审核人员会对组织的各个部门和业务流程进行实地检查和询问。
5. 审核报告
审核完成后,认证机构会出具审核报告,报告中包括审核结论、不符合项、改进建议等。
6. 认证决定
认证机构会对审核报告进行评估,并做出认证决定。如果组织的业务连续性管理体系符合标准要求,认证机构会颁发认证证书。
1、法律证明文件(营业执照机构成立批文);
2、生产许可证/资质证书/强制性认证证书等的复印件(根据国家及行业、部门的法律法规和标准要求);
3、有效的管理体系文件(质量手册、程序文件等);
4、申请认证的产品/服务的相关活动的简介认证范围涉及的多场所、在建项目、临时服务点清单(适用时);
5、认证范围所涉及的必须遵守的法律、法规、标准清单和守法记录(如事故记录、违反法律法规或规章的记录);
扫码微信咨询
