? 服務(wù)背景
隨著信息技術(shù)的不斷發(fā)展�����,人們對信息安全的關(guān)注日益提升�����,全球多個國家和地區(qū)相繼出臺了一系列隱私保護的法律法規(guī)�����,例如歐盟的GDPR,中國的網(wǎng)絡(luò)安全法�����,以及香港的個人隱私條例等�����,當(dāng)前幾乎所有的組織都有處理個人信息 (PII) 的情況�����。面對愈加嚴格的監(jiān)管趨勢和眾多且復(fù)雜的法律法規(guī), 企業(yè)如何有效的管理和保護用戶個人信息及隱私�����?
ISO/IEC 27001作為國際上公認的信息安全管理體系標準�����,在隱私保護方面提供了部分所需的信息安全控制措施�����,但如何從PII控制者和PII處理者二者不同的角度來實現(xiàn)和滿足不同國家和地區(qū)的隱私保護法律法規(guī)的要求�����,并沒有提供足夠的操作指引�����。
因此�����,新標準ISO/IEC 27701隱私信息管理體系應(yīng)勢而生�����。助力企業(yè)為GDPR合規(guī)展現(xiàn)�����、保護用戶隱私和個人信息合規(guī)管理提供了更多相關(guān)指南�����。
? 服務(wù)概述
2019年8月6日�����,國際標準化組織ISO和國際電工委員會IEC正式對外發(fā)布ISO/IEC 27701隱私信息管理體系標準。這標志著信息安全�����、隱私與個人信息保護�����,在國際間法律與法規(guī)的合規(guī)展現(xiàn)有了一致性的標準�����。
ISO/IEC 27701作為ISO/IEC 27001與ISO/IEC 27002在管理上的延伸標準�����,其目標是通過新增的要求來增強現(xiàn)有信息安全管理體(ISMS),以便建立�����、實施�����、維護和不斷改進隱私信息管理體系(PIMS)�����,標準概述了適用于個人身份信息(PII)控制者和PII處理者的框架�����,用于隱私控制管理�����,以降低對個人隱私的各種風(fēng)險�����。
(PS: 歐盟GDPR主責(zé)機構(gòu)�����,前身為Article 29 Working Party的European Data Protection Board (EDPB)�����,于ISO/IEC 27701的發(fā)展過程中積極參與�����,并提供歐盟個人信息保護的相關(guān)建議,如ISO/IEC 27701與GDPR的條文對應(yīng)�����。包含SC27眾會員國與EDPB�����,JTC1/SC27在各方達成合意后�����,公告了ISO/IEC 27701�����,這也是為什么國際間認為ISO/IEC 27701目前為GDPR合規(guī)展現(xiàn)的優(yōu)秀方案之一�����。)
? 標準條款
ISO/IEC 27701主要的內(nèi)容分為8個章節(jié):
第一至第三章:
主要是適用范圍�����、參考標準和名詞定義的說明�����,ISO/IEC 27701適用于任何類型的組織�����,包括政府�����、事業(yè)單位�����、金融�����、教育機構(gòu)�����、企業(yè)及非營利組織�����。
第四章:
標準整體說明,包括PIMS的要求如何應(yīng)對ISO/IEC 27001的4~10章管理體系�����,以及PIMS增項的指引如何應(yīng)對ISO/IEC 27002的5~18章的控制措施�����。
第五章和第六章:
進一步引述在第四章提到的PIMS對應(yīng)ISO/IEC 27001管理體系要求和ISO/IEC 27002控制措施實施指引�����。
第七章和第八章:
分別從PII控制者和PII處理者的角度�����,說明包括搜集和處理個人信息的情況和條件�����、應(yīng)遵循的個人信息保護原則�����、設(shè)計以及預(yù)設(shè)的隱私規(guī)定,以及個人信息的分享�����、傳輸和揭露的增項要求�����。
在標準的附錄A~F中還補充了PII控制者和PII處理者可參考的控制目標和控制措施�����,以及對應(yīng)到 ISO/IEC 29100�����、GDPR�����、ISO/IEC 27018�����、ISO/IEC 29151 的條款編號�����,并且加上如何應(yīng)用此標準的說明�����,對于想要整合多項標準和遵循GDPR的組織而言有著非常好的參考意義�����。
? 服務(wù)流程
步驟1 – 根據(jù)組織的規(guī)模及業(yè)務(wù)類型提供定制化的建議�����,在您簽署建議書后�����,審核即可開始�����。
步驟2 – 提供可選擇的針對準備情況與薄弱環(huán)節(jié)的“預(yù)審”服務(wù)�����。
步驟3 – 正式審核。第一階段——準備情況評估:對組織建立的文件化體系及其他重要體系進行評估�����,提出不符合項�����。
步驟4 – 第二階段:包括與工作人員面談�����、文件記錄的檢查以及對工作實踐的現(xiàn)場考察�����,提出審核發(fā)現(xiàn)�����。審核合格后會簽發(fā)證書�����。
步驟5 – 根據(jù)合同�����,每半年或一年對體系和整改計劃的實施進行監(jiān)督審核�����。
步驟6 – 證書簽發(fā)滿3年期后�����,實施再認證審核�����。
? 認證益處
1. 可以使用一個體系來管理來自不同國家和地區(qū)的多項隱私法規(guī)和政策的合規(guī)性�����;
2. 有助于組織向組織的最高管理層�����、合作伙伴�����、監(jiān)管機構(gòu)及其他相關(guān)方提供組織有關(guān)隱私法規(guī)工作的盡職管理證據(jù);
3. 隱私信息管理體系認證能向客戶和合作伙伴傳遞信任�����。
ISO/IEC27701隱私信息管理體系標準作為隱私保護和個人信息管理的ISO國際標準�����。不僅帶來新增的特定隱私要求�����,以便有效整合現(xiàn)行ISO/IEC 27001信息安全管理體系�����,未來更是針對隱私保護之特定領(lǐng)域 (PIMS-Specific)�����,以 ISO/IEC 27001延伸認證的方式實施�����,信息安全管理將與隱私信息管理進行密切整合�����。
? 服務(wù)優(yōu)勢
? 權(quán)威認可
CTI華測認證成立于2004年�����,改制于1993年成立的CQC深圳評審中心�����,是經(jīng)中國國家認證認可監(jiān)督管理委員會(CNCA)批準�����,經(jīng)中國合格評定國家認可委員會(CNAS)認可�����,具有獨立第三方公正地位的專業(yè)認證機構(gòu)�����。
? 就近服務(wù)
CTI華測認證總部設(shè)在深圳�����,在北京、上海�����、杭州�����、廣州�����、東莞�����、成都�����、廈門�����、長春�����、大連�����、武漢�����、蘭州�����、蘇州�����、長沙�����、合肥�����、西安、青島�����、天津�����,太原�����、呼和浩特�����、重慶�����、昆明�����、貴陽�����、鄭州�����、南寧�����、南昌�����、福州等地設(shè)立有分子公司和辦事處�����。主要業(yè)務(wù)包括四大版塊:認證服務(wù)�����、可持續(xù)發(fā)展服務(wù)�����、ESG和綠色金融評估服務(wù)以及培訓(xùn)服務(wù)。
粵公網(wǎng)安備 44030602000441號