業(yè)務(wù)挑戰
隨著(zhù)信息技術(shù)的不斷發(fā)展���,人們對信息安全的關(guān)注日益提升�����,全球多個(gè)國家和地區相繼出臺了一系列隱私保護的法律法規�,例如歐盟的GDPR�,中國的網(wǎng)絡(luò )安全法�,以及香港的個(gè)人隱私條例等����,當前幾乎所有的組織都有處理個(gè)人信息 (PII) 的情況�。
面對愈加嚴格的監管趨勢和眾多且復雜的法律法規, 企業(yè)如何有效的管理和保護用戶(hù)個(gè)人信息及隱私�����?
個(gè)人隱私安全管理體系****�����。
ISO/IEC 27001作為國際上公認的信息安全管理體系標準�����,在隱私保護方面提供了部分所需的信息安全控制措施����,但如何從PII控制者和PII處理者二者不同的角度來(lái)實(shí)現和滿(mǎn)足不同國家和地區的隱私保護法律法規的要求���,并沒(méi)有提供足夠的操作指引���。
新標準ISO/IEC 27701隱私信息管理體系應勢而生�。助力企業(yè)為GDPR合規展現�、保護用戶(hù)隱私和個(gè)人信息合規管理提供了更多相關(guān)指南�����。
服務(wù)概述
2019年8月6日��,****化組織ISO和國際電工委員會(huì )IEC正式對外發(fā)布ISO/IEC27701隱私信息管理體系標準��。這標志著(zhù)信息安全���、隱私與個(gè)人信息保護�����,在國際間法律與法規的合規展現有了一致性的標準����。
ISO/IEC 27701作為ISO/IEC 27001與ISO/IEC 27002在管理上的延伸標準�,其目標是通過(guò)新增的要求來(lái)增強現有信息安全管理體(ISMS),以便建立�����、實(shí)施����、維護和不斷改進(jìn)隱私信息管理體系(PIMS)�,標準概述了適用于個(gè)人身份信息(PII)控制者和PII處理者的框架�,用于隱私控制管理��,以降低對個(gè)人隱私的各種風(fēng)險��。
(PS: 歐盟GDPR主責機構����,前身為Article 29 Working Party的European Data Protection Board (EDPB)�����,于ISO/IEC 27701的發(fā)展過(guò)程中積極參與����,并提供歐盟個(gè)人信息保護的相關(guān)建議��,如ISO/IEC 27701與GDPR的條文對應�。包含SC27眾會(huì )員國與EDPB���,JTC1/SC27在各方達成合意后�,公告了ISO/IEC27701���,這也是為什么國際間認為ISO/IEC 27701目前為GDPR合規展現的**方案之一����。)
這個(gè)新標準有什么條款���?
ISO/IEC 27701主要的內容分為8個(gè)章節:
第一至第三章:
主要是適用范圍��、參考標準和名詞定義的說(shuō)明��,ISO/IEC 27701適用于任何類(lèi)型的組織�����,包括政府��、事業(yè)單位�����、金融�、教育機構�、企業(yè)及非營(yíng)利組織��。
第四章:
標準整體說(shuō)明�,包括PIMS的要求如何應對ISO/IEC 27001的4~10章管理體系����,以及PIMS增項的指引如何應對ISO/IEC 27002的5~18章的控制措施��。
第五章和第六章:
引述在第四章提到的PIMS對應ISO/IEC 27001管理體系要求和ISO/IEC 27002控制措施實(shí)施指引����。
第七章和第八章:
分別從PII控制者和PII處理者的角度��,說(shuō)明包括搜集和處理個(gè)人信息的情況和條件�����、應遵循的個(gè)人信息保護原則�����、設計以及預設的隱私規定�,以及個(gè)人信息的分享���、傳輸和揭露的增項要求�。
在標準的附錄A~F中還補充了PII控制者和PII處理者可參考的控制目標和控制措施�,以及對應到 ISO/IEC 29100�、GDPR�����、ISO/IEC 27018��、ISO/IEC 29151 的條款編號����,并且加上如何應用此標準的說(shuō)明�,對于想要整合多項標準和遵循GDPR的組織而言有著(zhù)非常好的參考意義���。
服務(wù)流程
步驟1 – ***根據組織的規模及業(yè)務(wù)類(lèi)型提供定制化的建議���,在您簽署建議書(shū)后���,審核即可開(kāi)始����。
步驟2 – ***提供可選擇的針對準備情況與薄弱環(huán)節的“預審”服務(wù)��。
步驟3 – 正式審核���。第一階段——準備情況評估:對組織建立的文件化體系及其他重要體系進(jìn)行評估�����,提出不符合項����。
步驟4 – 第二階段:包括與工作人員面談����、文件記錄的檢查以及對工作實(shí)踐的現場(chǎng)考察�,提出審核發(fā)現���。審核合格后會(huì )簽發(fā)證書(shū)��。
步驟5 – 根據合同���,每半年或一年對體系和整改計劃的實(shí)施進(jìn)行監督審核��。
步驟6 – 證書(shū)簽發(fā)滿(mǎn)3年期后����,實(shí)施再認證審核���。
認證益處
1. 可以使用一個(gè)體系來(lái)管理來(lái)自不同國家和地區的多項隱私法規和政策的合規性��;
2. 有助于組織向組織的最高管理層���、合作伙伴���、監管機構及其他相關(guān)方提供組織有關(guān)隱私法規工作的盡職管理證據�;
3. 隱私信息管理體系認證能向客戶(hù)和合作伙伴傳遞信任�。
ISO/IEC 27701隱私信息管理體系標準作為隱私保護和個(gè)人信息管理的ISO****����。不僅帶來(lái)新增的特定隱私要求�����,以便有效整合現行ISO/IEC 27001信息安全管理體系�����,未來(lái)更是針對隱私保護之特定領(lǐng)域 (PIMS-Specific)��,以 ISO/IEC 27001延伸認證的方式實(shí)施�,信息安全管理將與隱私信息管理進(jìn)行密切整合�����。
我們的優(yōu)勢
作為國際公認的檢驗�����、鑒定�、測試和認證機構�,***在IT信息安全領(lǐng)域解決方案范圍廣泛��,致力于為各行業(yè)機構提供全方位管理提升服務(wù)��,包括:ISO/IEC 27701����、ISO/IEC 29151�����、ISO/IEC 27001��、ISO/IEC 20000����、 CSA STAR��、ISO/IEC 27017��、ISO/IEC 27018���、ISO 22301����、GDPR等培訓����、認證和審核相關(guān)服務(wù)���。
相關(guān)服務(wù)
1��、ISO 22301認證
2�����、ISO/IEC 27001信息安全管理體系認證
3���、ISO/IEC 20000認證
4���、ISO/IEC 27017認證&ISO/IEC 27018認證
5���、GDPR
6���、CSA STAR
7��、TISAX
