業(yè)務(wù)挑戰(zhàn)
隨著信息技術(shù)的不斷發(fā)展憋考,人們對信息安全的關(guān)注日益提升榴都,全球多個國家和地區(qū)相繼出臺了一系列隱私保護(hù)的法律法規(guī)来鸟,例如歐盟的GDPR吹零,中國的網(wǎng)絡(luò)安全法晰房,以及香港的個人隱私條例等柠新,當(dāng)前幾乎所有的組織都有處理個人信息 (PII) 的情況窍荧。
面對愈加嚴(yán)格的監(jiān)管趨勢和眾多且復(fù)雜的法律法規(guī), 企業(yè)如何有效的管理和保護(hù)用戶個人信息及隱私?
個人隱私安全管理體系恨憎。
ISO/IEC 27001作為國際上公認(rèn)的信息安全管理體系標(biāo)準(zhǔn)蕊退,在隱私保護(hù)方面提供了部分所需的信息安全控制措施,但如何從PII控制者和PII處理者二者不同的角度來實(shí)現(xiàn)和滿足不同國家和地區(qū)的隱私保護(hù)法律法規(guī)的要求憔恳,并沒有提供足夠的操作指引瓤荔。
新標(biāo)準(zhǔn)ISO/IEC 27701隱私信息管理體系應(yīng)勢而生。助力企業(yè)為GDPR合規(guī)展現(xiàn)钥组、保護(hù)用戶隱私和個人信息合規(guī)管理提供了更多相關(guān)指南输硝。
服務(wù)概述
2019年8月6日,化組織ISO和國際電工委員會IEC正式對外發(fā)布ISO/IEC27701隱私信息管理體系標(biāo)準(zhǔn)程梦。這標(biāo)志著信息安全点把、隱私與個人信息保護(hù),在國際間法律與法規(guī)的合規(guī)展現(xiàn)有了一致性的標(biāo)準(zhǔn)绵颅。
ISO/IEC 27701作為ISO/IEC 27001與ISO/IEC27002在管理上的延伸標(biāo)準(zhǔn)曹胚,其目標(biāo)是通過新增的要求來增強(qiáng)現(xiàn)有信息安全管理體(ISMS),以便建立玲禾、實(shí)施、維護(hù)和不斷改進(jìn)隱私信息管理體系(PIMS)济谢,標(biāo)準(zhǔn)概述了適用于個人身份信息(PII)控制者和PII處理者的框架盏掉,用于隱私控制管理,以降低對個人隱私的各種風(fēng)險(xiǎn)情腥。
(PS: 歐盟GDPR主責(zé)機(jī)構(gòu)毙向,前身為Article 29 Working Party的European DataProtection Board (EDPB),于ISO/IEC27701的發(fā)展過程中積極參與辰张,并提供歐盟個人信息保護(hù)的相關(guān)建議形负,如ISO/IEC27701與GDPR的條文對應(yīng)。包含SC27眾會員國與EDPB欢巡,JTC1/SC27在各方達(dá)成合意后瞒礼,公告了ISO/IEC27701,這也是為什么國際間認(rèn)為ISO/IEC27701目前為GDPR合規(guī)展現(xiàn)的方案之一致驶。)
這個新標(biāo)準(zhǔn)有什么條款芯勘?
ISO/IEC 27701主要的內(nèi)容分為8個章節(jié):
第一至第三章:
主要是適用范圍、參考標(biāo)準(zhǔn)和名詞定義的說明腺逛,ISO/IEC 27701適用于任何類型的組織荷愕,包括政府、事業(yè)單位棍矛、金融安疗、教育機(jī)構(gòu)、企業(yè)及非營利組織够委。
第四章:
標(biāo)準(zhǔn)整體說明荐类,包括PIMS的要求如何應(yīng)對ISO/IEC 27001的4~10章管理體系,以及PIMS增項(xiàng)的指引如何應(yīng)對ISO/IEC27002的5~18章的控制措施慨绳。
第五章和第六章:
引述在第四章提到的PIMS對應(yīng)ISO/IEC 27001管理體系要求和ISO/IEC 27002控制措施實(shí)施指引掉冶。
第七章和第八章:
分別從PII控制者和PII處理者的角度,說明包括搜集和處理個人信息的情況和條件脐雪、應(yīng)遵循的個人信息保護(hù)原則厌小、設(shè)計(jì)以及預(yù)設(shè)的隱私規(guī)定,以及個人信息的分享战秋、傳輸和揭露的增項(xiàng)要求璧亚。
在標(biāo)準(zhǔn)的附錄A~F中還補(bǔ)充了PII控制者和PII處理者可參考的控制目標(biāo)和控制措施,以及對應(yīng)到 ISO/IEC29100辟堡、GDPR价岭、ISO/IEC 27018、ISO/IEC29151 的條款編號触晃,并且加上如何應(yīng)用此標(biāo)準(zhǔn)的說明冗吟,對于想要整合多項(xiàng)標(biāo)準(zhǔn)和遵循GDPR的組織而言有著非常好的參考意義俱报。
服務(wù)流程
步驟1 – SGS根據(jù)組織的規(guī)模及業(yè)務(wù)類型提供定制化的建議,在您簽署建議書后演侍,審核即可開始哼狰。
步驟2 – SGS提供可選擇的針對準(zhǔn)備情況與薄弱環(huán)節(jié)的“預(yù)審”服務(wù)。
步驟3 – 正式審核色递。第一階段——準(zhǔn)備情況評估:對組織建立的文件化體系及其他重要體系進(jìn)行評估痊追,提出不符合項(xiàng)。
步驟4– 第二階段:包括與工作人員面談粪趋、文件記錄的檢查以及對工作實(shí)踐的現(xiàn)場考察蛆狱,提出審核發(fā)現(xiàn)。審核合格后會簽發(fā)證書磺浙。
步驟5 – 根據(jù)合同洪囤,每半年或一年對體系和整改計(jì)劃的實(shí)施進(jìn)行監(jiān)督審核。
步驟6 – 證書簽發(fā)滿3年期后撕氧,實(shí)施再認(rèn)證審核箍鼓。
認(rèn)證益處
1. 可以使用一個體系來管理來自不同國家和地區(qū)的多項(xiàng)隱私法規(guī)和政策的合規(guī)性;
2. 有助于組織向組織的Zui高管理層呵曹、合作伙伴、監(jiān)管機(jī)構(gòu)及其他相關(guān)方提供組織有關(guān)隱私法規(guī)工作的盡職管理證據(jù)何暮;
3. 隱私信息管理體系認(rèn)證能向客戶和合作伙伴傳遞信任奄喂。
ISO/IEC 27701隱私信息管理體系標(biāo)準(zhǔn)作為隱私保護(hù)和個人信息管理的ISO。不僅帶來新增的特定隱私要求海洼,以便有效整合現(xiàn)行ISO/IEC 27001信息安全管理體系跨新,未來更是針對隱私保護(hù)之特定領(lǐng)域 (PIMS-Specific),以 ISO/IEC 27001延伸認(rèn)證的方式實(shí)施坏逢,信息安全管理將與隱私信息管理進(jìn)行密切整合域帐。
我們的優(yōu)勢
作為國際公認(rèn)的檢驗(yàn)、鑒定是整、測試和認(rèn)證機(jī)構(gòu)赚朱,SGS在IT信息安全領(lǐng)域解決方案范圍廣泛,致力于為各行業(yè)機(jī)構(gòu)提供全方位管理提升服務(wù)以叛,包括:ISO/IEC27701谁班、ISO/IEC 29151、ISO/IEC 27001疼喝、ISO/IEC 20000诊乐、 CSASTAR、ISO/IEC 27017我值、ISO/IEC 27018晰等、ISO 22301然怕、GDPR等培訓(xùn)、認(rèn)證和審核相關(guān)服務(wù)歉莫。
相關(guān)服務(wù)
1鱼灶、ISO 22301認(rèn)證
2、ISO/IEC 27001信息安全管理體系認(rèn)證
3爪只、ISO/IEC 20000認(rèn)證
4琅功、ISO/IEC 27017認(rèn)證&ISO/IEC 27018認(rèn)證
5、GDPR
6先嬉、CSA STAR
7轧苫、TISAX
