扫码微信咨询
ISO27701隐私信息管理
国际通用的PII保护工具,满足GDPR要求,传递隐私安全信任- 专业服务保障
- 一对一全程指导
- 高效快捷体验
ISO27701分别对个人可识别信息控制者和个人可识别信息处理者进行规范和指导,从管理体系的角度并遵循PDCA的理念。ISO27701该标准提供了一个国际通用的隐私信息管理工具,对于降低企业隐私合规难度,便利企业提供合规证明,增强社会各方对企业的信任程度具有重要意义。
产品介绍
数据滥用、数据窃取、隐私泄露等数据安全问题呈现爆发趋势,在此背景下,全球各个国家纷纷颁布相关法律法规,如欧盟的GDPR和美国的CCPA对数据安全与隐私保护相关问题进行严格的规范与引导。
ISO27701标准的发布,填补了隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并目对PII控制者和PII处理者进行了较为详细且落地性强的规定,在隐私保护和信息安全方面向企业给出了指导建议。
ISO27701通过对隐私保护的控制对ISO27001进行补充,有效协助组织对隐私风险进行识别、分析、采取措施,确保符合高级别的隐私保护合规要求,将风险降到可接受水平并维持该水平,最终帮助组织建立完善的隐私信息管理体系,实现有效的隐私管理。
-
PII:个人可识别信息(也译作个人身份信息),可用于识别此类信息相关的 PII 主体的任何信息;直接或间接链接到 PII 主体的信息;
-
PII控制者:确定处理PII的目的和手段隐私利益相关者(或隐私利益相关者们),但不包括出于个人目的使用数据的自然人;
-
PII处理者:代表并按照 PII 控制者的说明处理PII的隐私利益相关者。
ISO27701认证适用于各个行业类别,涉及信息领域服务的任何大型或小型组织都可以申请认证。
包括公有和私营公司、政府实体和非营利组织,通过实施ISO27701标准,能够使组织给他们的监管机构、合作伙伴、客户和雇员等带来更加有力的信任,为组织赢得更多的机遇。
包括以下方面:
组织需要审查和监控与个人信息处理相关的外部供应商,确保其符合隐私要求,并签订合适的合同和协议以保护个人信息的安全。
ISO27701是ISO27001信息安全管理的隐私扩展,由于许多组织已经建立了基于ISO27001的信息安全管理体系(ISMS) ,并以ISO27002为指导,为保护隐私奠定了基础。
ISO27701通过附加要求来增强现有的信息安全管理体系,以便建立、实施、维护和持续改进隐私信息管理系统(PIMS)。
|
对比项 |
ISO27001/信息安全 |
ISO27701/隐私安全 |
|
标准内容 |
信息安全管理体系,简称:ISMS 《ISO/IEC27001 信息安全管理体系》 |
隐私信息管理体系,简称PIMS 《ISO/IEC27701 隐私信息管理体系》 |
|
保护对象 |
信息资产 |
信息资产+个人可识别信息 PII |
|
适用范围 |
所有企业、政府、非盈利机构 |
所有企业、政府、非盈利机构 |
|
标准结构 |
ISO高阶架构+规范性附录A |
ISO27001+ISO27002+规范性附录A+规范性附录B |
|
措施依据 |
ISO/IEC27002 信息安全控制实用规则 |
ISO/IEC27002 信息安全控制实用规则 ISO/IEC29100:2011 隐私框架 ISO/IEC29151:2017 个人身份信息保护实践 |
|
方法论 |
信息安全风险评估 ISO/IEC27005 信息安全风险管理 |
信息安全风险评估+隐私风险评估PIA ISO/IEC27005 信息安全风险管理 ISO/IEC29134 隐私影响评估 |
|
角色 |
管理者代表 |
DPO 数据保护官/PII控制者/PII处理者/联合控制者 |
|
体系文件 |
1级文件:手册、适用性声明及删减说明 2级文件:风险评估程序文件 3级文件:作业指导书 4级文件:风险评估报告 |
1级文件:手册、适用性声明及删减说明 2级文件:隐私声明、隐私风险评估等必要的程序文件 3级文件:作业指导书 4级文件:隐私风险评估报告 |
|
融合后的术语对应 |
信息安全管理体系 (ISMS) 信息安全 信息安全方针 信息安全管理 信息安全管理目标 信息安全绩效 信息安全要求 信息安全风险 信息安全风险评估 信息安全风险处置 |
隐私信息管理体系(PIMS) 信息安全和隐私 信息安全和隐私方针 信息安全和隐私信息管理 信息安全和隐私目标 信息安全和隐私绩效 信息安全和隐私要求 信息安全和隐私风险 信息安全和隐私风险评估 信息安全和隐私风险处置 |
a)参与部门
实施ISO27701至少需要组织的业务部门、法律团队、合规团队、网络安全技术部门、数据管理部门配合参与。
b)实施周期
正常从项目开始启动,通过差距分析、辅以培训、建立隐私信息安全保护体系并推广实施,经第三方机构认证审核,整个周期在3-5个月。
c)所需材料
包括但不限于公司执照及相关资质,PII信息流涉及的信息系统、存储介质等基础资料,现有业务流程体系文件,隐私安全管理制度,隐私保护风评材料(至少有风险评估计划、风险处置计划和残余风险报告),隐私适用性声明,隐私信息影响评估报告,适用PIMS要求的法律法规清单等。
擎标是国内隐私安全合规咨询领域的早期参与者,拥有丰富的隐私安全领域的服务案例,在ISO27701实施上占据优势,如果您有相关需求,欢迎联系我们。
办理流程
所需材料
1.公司简介
2.公司营业执照
3.其他相关资质
4.公司的组织架构图(部门架构和目前公司的主要人员姓名、归属部门、岗位)
5.公司现有的业务流程
6.公司现有的IT方面的管理制度
7.特定利益相关方的期望和要求
8.隐私信息数据的类型
常见问题
-
ISO27701与各标准之间是什么样的关系?
a) ISO27701是ISO27001和ISO27002在隐私方面的扩展。 b) ISO27002为ISO27001提供风险处置具体的控制目标和控制措施。 c)ISO29100、ISO27018、ISO29151均为隐私方面的标准,有不同的侧重点,与ISO27701互为补充。 d)ISO27001帮助企业建立ISMS,通过有效的风险管理来保护和管理组织的所有信息,从数据安全方面满足GDPR的部分要求。 e)ISO27701加入了隐私保护的额外要求,更全面地覆盖了GDPR的要求。
-
证书有效期、年审机制?与其他ISO体系一样,证书有效期为三年,每年需进行一次年审
-
ISO27701的认证需要以先通过ISO27001认证为前提吗?不需要!ISO27701是独立的可以认证的标准依据,任何组织均可以直接申请认证。有ISO27001认证会对ISO27701的体系落地有帮助,但不是前置条件。
扩展支持服务
全生命周期保障服务
1. 建立基于项目制的PMO工作组,由客户经理和项目经理联合负责跟进项目进度、交付物、满意度等质量活动。
2. 项目生命周期过程中的任何不满,均可以通过公司400电话和在线方式进行投诉反馈。
3. 周期性的回访,以确保项目交付验收后的任何变更、年审、升级或续证等提醒事项。
2. 项目生命周期过程中的任何不满,均可以通过公司400电话和在线方式进行投诉反馈。
3. 周期性的回访,以确保项目交付验收后的任何变更、年审、升级或续证等提醒事项。
服务指标
全天候擎标在线,7×12小时的400电话和线上支持,提供现场/远程服务。我们承诺服务响应速度不超过60分钟。我们注重服务效率,在目标时间内保质保量的交付每一次服务。
工具支持
可提供ITSM运维工具、终端保密管理工具、风险评估工具、漏洞扫描工具、BUG管理工具、评估用PIID表、软件建模工具、项目管理工具、知识库管理工具等系列解决方案。
知识中心
1. 通过咨询顾问和培训老师,可获取各类业务相关的标准库、知识库、文档库。
2. 标新领异,我们可提供部分国际最新标准的中文译本和业内的政策动态资讯。
2. 标新领异,我们可提供部分国际最新标准的中文译本和业内的政策动态资讯。
培训增值
1. 擎标每年不定期的举办培训公开课,签约客户均可享受优惠折扣和部分免费名额。
2. 部分基于线上的培训方式,受邀客户可以免费不计人数的参与研讨学习。
2. 部分基于线上的培训方式,受邀客户可以免费不计人数的参与研讨学习。
相关认证推荐
-
CMMM智能制造能力成熟度模型培训 智能制造领域个人能力资质的有力证明 MORE -
DCMM数据管理能力成熟度评估 我国首个数据管理领域国家标准 MORE -
DSMM数据安全能力成熟度模型 MORE -
TISAX® 可信信息安全评估与交换 MORE -
ITSS服务经理培训 国内IT服务领域个人能力资质的有力证明 MORE -
ITSS服务工程师培训 国内IT服务领域个人能力资质的有力证明 MORE -
业务连续性高级专家课程 邀请业内最具实战技能的专家《ISO 22301: 2019》的内容和新变化 MORE -
著作权/专利 软件著作权 MORE -
ITSM运维工具 MORE -
计算机保密终端检查工具 计算机终端保密检查装备 MORE