ISO/IEC27701简介
2023年8月,国际标准化组织ISO和国际电工委员会IEC联合发布了全新个人信息管理体系SO/IEC27701.
ISO/IEC27701标准针对保护可能受到个人信息收集和处理影响的隐私提供了更多相关指南。
ISO/IEC27701标准旨在为包括各类企业、政府实体和非盈利组织在内的组织,建立、实施进个人识别信息处理方法和隐私信息管理提供要求和指南。
ISO/EC27701标准将隐私保护的原则、理念和方法,融入到网络安全和隐私保护体系中,给企业提供了最佳实践和指导建议。同时,隐私信息管理体系的建设,一定程度上也是企业隐私保护能力的一种体现,能够增强企业与消费者、合作伙伴甚至是监管部门的相互信任。
实施ISO 27701的优势
通过消除组织证明符合多个认证的需求来减少工作量。
通过全球认可它遵守隐私法,在组织及其感兴趣的各方之间赢得更多的信任。
向数据保护官提供他们需要与高级管理层和董事会成员共享的证据,以证明已满足适用的隐私要求。
根据英国退欧的结果和组织的适用性声明,此认证可能会通过欧盟数字单一市场和跨境数据流为组织增加机会。
提供透明度,并使组织能够更有效地协作。
通过将认证与领先的信息安全标准ISO 27001集成来减少复杂性。
通过创建PIMS的隐私特定控件增强当前的ISMS,以确保组织内有效的隐私管理。
制定ISO 27701的关键因素之一是确保通过公认的共识驱动程序来创建它。众多行业和法规领导者提供了意见和指导,包括欧洲数据保护委员会和每个欧盟国家的数据保护机构。
这些数据保护机构对新的ISO 27701足以证明其对各种规模和各个领域的组织都遵守隐私权法感到满意。该认证还满足了控制器和处理器的要求,它们都具有ISO 27701中定义的众多控件。
ISO 27701隐私信息管理体系的适用范围
ISO/IEC 27701标准以扩展ISO /IEC 27001和ISO / IEC 27002的形式(在组织范围内进行隐私管理)规定了要求并提供了建立,实施,维护和持续改进隐私信息管理系统的指南。
ISO/MEC 27701标准指定了与个人信息管理体系相关的要求,并为对个人身份信息处理负有责任和责任的个人身份信息控制者和个人身份信息处理者提供了指南。
ISO/IEC 27701标准适用于所有类型和规模的组织,包括上市和私有公司,政府实体和非营利组织
申请ISO 27701需要提供什么资料
1、公司执照及相关资质(需要时)
2、依据ISO27701标准建立的体系文件(一级和二级文件,至少包含SOA文件和程序文件)
3、体系建立后至少运行3个月以上
4、至少进行-次内部审核、一次管理评审
5、包含PIMS要求的隐私信息安全风险评估资料(至少有风险评估计划、风险处置计划和残余风险报告)
6、适用PIMS要求的法律法规清单
7、运营场所物理平面图及网络拓扑图
8、PII识别处理II信息流涉及的信息系统、存储介质等清单
9、PII影响评估报告
