ISO體系針對(duì)各行各業(yè)都有相應(yīng)的規(guī)范，以保障產(chǎn)品質(zhì)量以及保護(hù)消費(fèi)者的權(quán)益。互聯(lián)網(wǎng)發(fā)展速度很快，但隨之而來(lái)也產(chǎn)生了一些安全隱患，用戶的隱私信息可能正在受到威脅。為了解決此項(xiàng)問(wèn)題，ISO制定了ISO27701隱私信息管理體系認(rèn)證。接下來(lái)，企常青為您整理介紹ISO27701體系認(rèn)證是什么?如何辦理隱私信息管理體系認(rèn)證?

一、ISO27701體系認(rèn)證是什么?

ISO/IEC27701隱私信息管理體系PrivacyInformationManagementSystem(PIMS)是ISO國(guó)際標(biāo)準(zhǔn)化組織和IEC國(guó)際電工委員會(huì)聯(lián)合發(fā)布的隱私信息管理體系國(guó)際標(biāo)準(zhǔn)，它是對(duì)ISO27001信息安全管理體系的擴(kuò)展，在全球普遍受到認(rèn)可，且具國(guó)際權(quán)威性。

ISO/IEC27701通過(guò)對(duì)隱私保護(hù)的控制對(duì)ISO/IEC27001進(jìn)行補(bǔ)充，有效協(xié)助組織對(duì)隱私風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析、采取措施，確保符合高級(jí)別的隱私保護(hù)合規(guī)要求，將風(fēng)險(xiǎn)降到可接受水平并維持該水平，最終幫助組織建立完善的隱私信息管理體系，實(shí)現(xiàn)有效的隱私管理。

適用行業(yè)范圍：

ISO/IEC27701認(rèn)證適用于各個(gè)行業(yè)類別，涉及信息領(lǐng)域服務(wù)的任何大型或小型組織都可以申請(qǐng)認(rèn)證。

二、ISO27701認(rèn)證體系規(guī)定

1、收集和處理鑒別解決目地和處理的法律規(guī)定;確立獲得允許的形式、時(shí)長(zhǎng)，并留存相對(duì)應(yīng)記錄;開展個(gè)人隱私危害評(píng)定。

2、廣告推廣在沒(méi)有事前征求個(gè)人信息行為主體允許前提下，不容易將個(gè)人信息用以廣告推廣。

3、解決責(zé)任明確并記錄對(duì)個(gè)人信息行為主體所履行的法律義務(wù)和商業(yè)倫理責(zé)任，同時(shí)提供執(zhí)行這種義務(wù)的方式;大力支持客戶的修改權(quán)、撤銷同意權(quán)、回絕權(quán)、刪掉權(quán)、瀏覽權(quán)等個(gè)人信息支配權(quán)并留存相對(duì)應(yīng)記錄。

4、默認(rèn)個(gè)人隱私保護(hù)保證流程及系統(tǒng)軟件設(shè)計(jì)可以使個(gè)人信息的收集正確處理(包含應(yīng)用、公布、儲(chǔ)存、傳送和刪掉)僅限最少必需范疇，并留存有關(guān)記錄。

5、共享遷移鑒別存不存在共享、遷移、公布、跨境電商傳送個(gè)人信息的情況，并記錄實(shí)際個(gè)人行為。

6、合同規(guī)定簽訂的書面協(xié)議應(yīng)承諾個(gè)人信息維護(hù)的有關(guān)對(duì)策，比如操作權(quán)限操縱、個(gè)人信息泄漏匯報(bào)等。

7、員工技能培訓(xùn)可瀏覽個(gè)人信息的職工應(yīng)簽訂保密協(xié)議書，并參加個(gè)人隱私保護(hù)與網(wǎng)絡(luò)信息安全學(xué)習(xí)培訓(xùn)。

8、總體規(guī)劃鑒別利益相關(guān)方的需要及希望，進(jìn)一步明確體系管理的范疇;明確的內(nèi)部工作人員義務(wù)及相關(guān)的目標(biāo)與規(guī)劃;確立實(shí)際的運(yùn)轉(zhuǎn)規(guī)劃和控制方法，評(píng)定并處理風(fēng)險(xiǎn)性;內(nèi)部結(jié)構(gòu)按時(shí)審查并繼續(xù)完善管理體系。

三、如何辦理ISO27701隱私信息管理體系認(rèn)證?

1、按照ISO27701管理體系標(biāo)準(zhǔn)要求建立體系框架;

2、體系建立后iso9001體系認(rèn)證機(jī)構(gòu)，需要運(yùn)行一段時(shí)間，至少3個(gè)月，產(chǎn)生3個(gè)月的運(yùn)行記錄;

3、向認(rèn)證機(jī)構(gòu)遞交審核申請(qǐng);

4、認(rèn)證機(jī)構(gòu)評(píng)估費(fèi)用和正式審核時(shí)間;

5、認(rèn)證機(jī)構(gòu)將進(jìn)行預(yù)審，在正式審核前排除一些重大損失，同時(shí)讓客戶熟悉審核的方法進(jìn)行評(píng)估，審查方針，范圍和采用的程序。檢查體系中遺漏和繁瑣需要修改的地方;

6、認(rèn)證機(jī)構(gòu)進(jìn)行實(shí)施審核;

7、如果順利完成審核，在確定清楚認(rèn)證范圍后，發(fā)放證書。

四、ISO27701體系認(rèn)證需要哪些材料?

1、公司執(zhí)照及相關(guān)資質(zhì)(需要時(shí))

2、依據(jù)ISO27701標(biāo)準(zhǔn)建立的體系文件(一級(jí)和二級(jí)文件，至少包含SOA文件和程序文件)

3、體系建立后至少運(yùn)行3個(gè)月以上

4、至少進(jìn)行一次內(nèi)部審核、一次管理評(píng)審

5、包含PIMS要求的隱私信息安全風(fēng)險(xiǎn)評(píng)估資料(至少有風(fēng)險(xiǎn)評(píng)估計(jì)劃、風(fēng)險(xiǎn)處置計(jì)劃和殘余風(fēng)險(xiǎn)報(bào)告)

6、適用PIMS要求的法律法規(guī)清單

7、運(yùn)營(yíng)場(chǎng)所物理平面圖及網(wǎng)絡(luò)拓?fù)鋱D

8、PII識(shí)別處理PII信息流涉及的信息系統(tǒng)、存儲(chǔ)介質(zhì)等清單

9、PII影響評(píng)估報(bào)告。

上述內(nèi)容為“ISO27701體系認(rèn)證”及認(rèn)證相關(guān)流程及材料，如您在辦理過(guò)程中存在疑問(wèn)，可咨詢企常青認(rèn)證老師，我們會(huì)為您解答疑惑。