ISO27701隐私信息安全管理体系
一、什么是ISO27701?
ISO/IEC 27701是对ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隐私扩展。它是一项国际管理系统标准体系,为保护个人隐私提供指导,包括组织应如何管理个人信息,并协助证明遵守了世界各地的隐私法规。
PII:个人可识别身份信息,指 a) 任何可以识别PII主体的信息或 b) 直接或间接与PII主体相关的信息
PIMS:Privacy Information Management System,隐私信息管理体系
Customer:
PII控制者的customer:与PII控制者有合约关系的组织,可以是共同控制者
PII处理者的customer:与PII处理者有合约关系的PII控制者
与PII处理的分包商有合约关系的PII处理者
2、ISO 27701结构组成
三、ISO27701与各标准之间的关系
a)ISO 27701是ISO 27001和ISO 27002在隐私方面的扩展。
b)ISO 27002为ISO 27001提供风险处置具体的控制目标和控制措施。
c)ISO 29100、ISO 27018、ISO 29151均为隐私方面的标准,有不同的侧重点,与ISO 27701互为补充。
d)ISO 27001帮助企业建立ISMS,通过有效的风险管理来保护和管理组织的所有信息,从数据安全方面满足GDPR的部分要求。
e)ISO 27701加入了隐私保护的额外要求,更全面地覆盖了GDPR的要求。
4.《ISO/IEC 27701,安全技术-扩展的ISO/IEC 27001和ISO/IEC 27002-隐私信息管理要求和指南》的发布,填补了目前隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并且对PII控制者和PII处理者进行了较为详细且落地性强的规定,细化了隐私信息管理的要求,给企业在隐私保护和信息安全方面给出了指导建议。
四、申报的条件
1、企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件。
2、申请方已按照ISO27701标准要求建立体系并实施运行3个月以上。
3、至少完成一次数据保护/隐私影响评估、内部审核,并进行了管理评审。
4、体系运行期间及建立体系前一年内未受到主管部门行政处罚。
五、申报所需的资料
1、公司执照及相关资质(需要时)
2、依据ISO27701标准建立的体系文件(一级和二级文件,至少包含SOA文件和程序文件)
3、体系建立后至少运行3个月以上
4、至少进行一次内部审核、一次管理评审
5、包含PIMS要求的隐私信息安全风险评估资料(至少有风险评估计划、风险处置计划和残余风险报告)
6、适用PIMS要求的法律法规清单
7、运营场所物理平面图及网络拓扑图
8、PII识别处理PII信息流涉及的信息系统、存储介质等清单
9、PII影响评估报告等。
六、ISO27701认证好处
ISO27701隐私信息管理体系,投标重要加分资质,大数据平台、信息系统建设项目投标必备硬件要求之一。ISO/IEC 27701是基于个人隐私数据保护的ISO国际标准,可以证明组织数据存储与处理的有效性,并用来评估整个供应链中组织之间交换个人信息的风险。通过提供必要的证据,证明组织依照法律处理其客户的个人信息,包括跨境数据流的情况,可以帮助证明组织遵守GDPR等数据隐私法。证明遵守法规的认证机制在很大程度上增加了组织间对如何处理个人数据的信任,同时通过在组织之间提供保证来创造商业机会。
七、证书样式
八、中咨获证知名企业
中国电子信息产业集团第六研究所
中移建设有限公司
中石化华东石油工程有限公司
联通大数据有限公司
北京航天长峰科技工业集团有限公司
国网商用大数据有限公司
用友金融信息技术股份有限公司
用友广信网络科技有限公司
百望股份有限公司
北京旷视科技有限公司(Megvii,Face++)
国华人寿保险股份有限公司
纬创软件(北京)有限公司
国信优易数据有限公司
北京九章云极科技有限公司
北京量子伟业信息技术股份有限公司
北京腾信软创科技股份有限公司
中咨鑫顺贴心为您服务!
服务热线:010-67506541 400-004-6906
(声明:本文所用视频、图片、文字部分来源于互联网,版权属原作者所有。如涉及到版权或侵权问题,请及时和我们联系,核实后协商立即处理或删除。)
ISO/IEC 27701是对ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隐私扩展。它是一项国际管理系统标准体系,为保护个人隐私提供指导,包括组织应如何管理个人信息,并协助证明遵守了世界各地的隐私法规。
二、ISO/IEC 27701标准介绍
1、关键术语解释:PII:个人可识别身份信息,指 a) 任何可以识别PII主体的信息或 b) 直接或间接与PII主体相关的信息
PIMS:Privacy Information Management System,隐私信息管理体系
Customer:
PII控制者的customer:与PII控制者有合约关系的组织,可以是共同控制者
PII处理者的customer:与PII处理者有合约关系的PII控制者
与PII处理的分包商有合约关系的PII处理者
2、ISO 27701结构组成
三、ISO27701与各标准之间的关系
a)ISO 27701是ISO 27001和ISO 27002在隐私方面的扩展。
b)ISO 27002为ISO 27001提供风险处置具体的控制目标和控制措施。
c)ISO 29100、ISO 27018、ISO 29151均为隐私方面的标准,有不同的侧重点,与ISO 27701互为补充。
d)ISO 27001帮助企业建立ISMS,通过有效的风险管理来保护和管理组织的所有信息,从数据安全方面满足GDPR的部分要求。
e)ISO 27701加入了隐私保护的额外要求,更全面地覆盖了GDPR的要求。
4.《ISO/IEC 27701,安全技术-扩展的ISO/IEC 27001和ISO/IEC 27002-隐私信息管理要求和指南》的发布,填补了目前隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并且对PII控制者和PII处理者进行了较为详细且落地性强的规定,细化了隐私信息管理的要求,给企业在隐私保护和信息安全方面给出了指导建议。
四、申报的条件
1、企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件。
2、申请方已按照ISO27701标准要求建立体系并实施运行3个月以上。
3、至少完成一次数据保护/隐私影响评估、内部审核,并进行了管理评审。
4、体系运行期间及建立体系前一年内未受到主管部门行政处罚。
五、申报所需的资料
1、公司执照及相关资质(需要时)
2、依据ISO27701标准建立的体系文件(一级和二级文件,至少包含SOA文件和程序文件)
3、体系建立后至少运行3个月以上
4、至少进行一次内部审核、一次管理评审
5、包含PIMS要求的隐私信息安全风险评估资料(至少有风险评估计划、风险处置计划和残余风险报告)
6、适用PIMS要求的法律法规清单
7、运营场所物理平面图及网络拓扑图
8、PII识别处理PII信息流涉及的信息系统、存储介质等清单
9、PII影响评估报告等。
六、ISO27701认证好处
ISO27701隐私信息管理体系,投标重要加分资质,大数据平台、信息系统建设项目投标必备硬件要求之一。ISO/IEC 27701是基于个人隐私数据保护的ISO国际标准,可以证明组织数据存储与处理的有效性,并用来评估整个供应链中组织之间交换个人信息的风险。通过提供必要的证据,证明组织依照法律处理其客户的个人信息,包括跨境数据流的情况,可以帮助证明组织遵守GDPR等数据隐私法。证明遵守法规的认证机制在很大程度上增加了组织间对如何处理个人数据的信任,同时通过在组织之间提供保证来创造商业机会。
七、证书样式
八、中咨获证知名企业
中国电子信息产业集团第六研究所
中移建设有限公司
中石化华东石油工程有限公司
联通大数据有限公司
北京航天长峰科技工业集团有限公司
国网商用大数据有限公司
用友金融信息技术股份有限公司
用友广信网络科技有限公司
百望股份有限公司
北京旷视科技有限公司(Megvii,Face++)
国华人寿保险股份有限公司
纬创软件(北京)有限公司
国信优易数据有限公司
北京九章云极科技有限公司
北京量子伟业信息技术股份有限公司
北京腾信软创科技股份有限公司
中咨鑫顺贴心为您服务!
服务热线:010-67506541 400-004-6906
(声明:本文所用视频、图片、文字部分来源于互联网,版权属原作者所有。如涉及到版权或侵权问题,请及时和我们联系,核实后协商立即处理或删除。)
