ISO27701隱私信息安全管理體系

一、什么是ISO27701？
ISO/IEC 27701是對ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隱私擴(kuò)展。它是一項(xiàng)國際管理系統(tǒng)標(biāo)準(zhǔn)體系，為保護(hù)個(gè)人隱私提供指導(dǎo)，包括組織應(yīng)如何管理個(gè)人信息，并協(xié)助證明遵守了世界各地的隱私法規(guī)。

二、ISO/IEC 27701標(biāo)準(zhǔn)介紹

1、關(guān)鍵術(shù)語解釋：
PII：個(gè)人可識別身份信息，指 a) 任何可以識別PII主體的信息或 b) 直接或間接與PII主體相關(guān)的信息
PIMS：Privacy Information Management System，隱私信息管理體系
Customer：
PII控制者的customer：與PII控制者有合約關(guān)系的組織，可以是共同控制者
PII處理者的customer：與PII處理者有合約關(guān)系的PII控制者
與PII處理的分包商有合約關(guān)系的PII處理者
2、ISO 27701結(jié)構(gòu)組成


三、ISO27701與各標(biāo)準(zhǔn)之間的關(guān)系


a)ISO 27701是ISO 27001和ISO 27002在隱私方面的擴(kuò)展。
b)ISO 27002為ISO 27001提供風(fēng)險(xiǎn)處置具體的控制目標(biāo)和控制措施。
c)ISO 29100、ISO 27018、ISO 29151均為隱私方面的標(biāo)準(zhǔn)，有不同的側(cè)重點(diǎn)，與ISO 27701互為補(bǔ)充。
d)ISO 27001幫助企業(yè)建立ISMS，通過有效的風(fēng)險(xiǎn)管理來保護(hù)和管理組織的所有信息，從數(shù)據(jù)安全方面滿足GDPR的部分要求。
e)ISO 27701加入了隱私保護(hù)的額外要求，更全面地覆蓋了GDPR的要求。
4.《ISO/IEC 27701，安全技術(shù)-擴(kuò)展的ISO/IEC 27001和ISO/IEC 27002-隱私信息管理要求和指南》的發(fā)布，填補(bǔ)了目前隱私信息管理體系的空白，將隱私保護(hù)的原則、理念和方法，融入到信息安全保護(hù)體系中，并且對PII控制者和PII處理者進(jìn)行了較為詳細(xì)且落地性強(qiáng)的規(guī)定，細(xì)化了隱私信息管理的要求，給企業(yè)在隱私保護(hù)和信息安全方面給出了指導(dǎo)建議。

四、申報(bào)的條件
1、企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》、《生產(chǎn)許可證》或等效文件。
2、申請方已按照ISO27701標(biāo)準(zhǔn)要求建立體系并實(shí)施運(yùn)行3個(gè)月以上。
3、至少完成一次數(shù)據(jù)保護(hù)/隱私影響評估、內(nèi)部審核，并進(jìn)行了管理評審。
4、體系運(yùn)行期間及建立體系前一年內(nèi)未受到主管部門行政處罰。

五、申報(bào)所需的資料
1、公司執(zhí)照及相關(guān)資質(zhì)（需要時(shí)）
2、依據(jù)ISO27701標(biāo)準(zhǔn)建立的體系文件（一級和二級文件，至少包含SOA文件和程序文件）
3、體系建立后至少運(yùn)行3個(gè)月以上
4、至少進(jìn)行一次內(nèi)部審核、一次管理評審
5、包含PIMS要求的隱私信息安全風(fēng)險(xiǎn)評估資料（至少有風(fēng)險(xiǎn)評估計(jì)劃、風(fēng)險(xiǎn)處置計(jì)劃和殘余風(fēng)險(xiǎn)報(bào)告）
6、適用PIMS要求的法律法規(guī)清單
7、運(yùn)營場所物理平面圖及網(wǎng)絡(luò)拓?fù)鋱D
8、PII識別處理PII信息流涉及的信息系統(tǒng)、存儲介質(zhì)等清單
9、PII影響評估報(bào)告等。

六、ISO27701認(rèn)證好處
ISO27701隱私信息管理體系，投標(biāo)重要加分資質(zhì)，大數(shù)據(jù)平臺、信息系統(tǒng)建設(shè)項(xiàng)目投標(biāo)必備硬件要求之一。ISO/IEC 27701是基于個(gè)人隱私數(shù)據(jù)保護(hù)的ISO國際標(biāo)準(zhǔn)，可以證明組織數(shù)據(jù)存儲與處理的有效性，并用來評估整個(gè)供應(yīng)鏈中組織之間交換個(gè)人信息的風(fēng)險(xiǎn)。通過提供必要的證據(jù)，證明組織依照法律處理其客戶的個(gè)人信息，包括跨境數(shù)據(jù)流的情況，可以幫助證明組織遵守GDPR等數(shù)據(jù)隱私法。證明遵守法規(guī)的認(rèn)證機(jī)制在很大程度上增加了組織間對如何處理個(gè)人數(shù)據(jù)的信任，同時(shí)通過在組織之間提供保證來創(chuàng)造商業(yè)機(jī)會。

七、證書樣式



八、中咨獲證知名企業(yè)
中國電子信息產(chǎn)業(yè)集團(tuán)第六研究所
中移建設(shè)有限公司
中石化華東石油工程有限公司
聯(lián)通大數(shù)據(jù)有限公司
北京航天長峰科技工業(yè)集團(tuán)有限公司
國網(wǎng)商用大數(shù)據(jù)有限公司
用友金融信息技術(shù)股份有限公司
用友廣信網(wǎng)絡(luò)科技有限公司
百望股份有限公司
北京曠視科技有限公司（Megvii,Face++）
國華人壽保險(xiǎn)股份有限公司
緯創(chuàng)軟件（北京）有限公司
國信優(yōu)易數(shù)據(jù)有限公司
北京九章云極科技有限公司
北京量子偉業(yè)信息技術(shù)股份有限公司
北京騰信軟創(chuàng)科技股份有限公司

中咨鑫順貼心為您服務(wù)！
服務(wù)熱線：010-67506541     400-004-6906

（聲明：本文所用視頻、圖片、文字部分來源于互聯(lián)網(wǎng)，版權(quán)屬原作者所有。如涉及到版權(quán)或侵權(quán)問題，請及時(shí)和我們聯(lián)系，核實(shí)后協(xié)商立即處理或刪除。）