ISO/IEC 27701标准的发布,填补了目前隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并且对PII控制者和PII处理者进行了较为详细且落地性强的规定,给企业在隐私保护和信息安全方面给出了指导建议。
企业做ISO 27701隐私信息管理体系认证的好处与作用:
可以使用一个体系来管理来自不同国家和地区的多项隐私法规和政策的合规性;
有助于组织向组织的最高管理层、合作伙伴、监管机构及其他相关方提供组织有关隐私法规工作的尽职管理证据;隐私信息管理体系认证能向客户和合作伙伴传递信任。ISO/IEC 27701隐私信息管理体系标准作为隐私保护和个人信息管理的ISO国际标准。不仅带来新增的特定隐私要求,以便有效整合现行ISO/IEC 27001信息安全管理体系,未来更是针对隐私保护之特定领域 (PIMS-Specific),以 ISO/IEC 27001延伸认证的方式实施,信息安全管理将与隐私信息管理进行密切整合。对于信息安全领域又添新标准,企业如何选择符合且利于组织发展的管理体系?企业有效的信息安全管控及个人隐私处理,是为客户及用户带来信任和提升品牌价值的方法和策略.
申请ISO 27701隐私信息管理体系认证所需提供的材料:
1)法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等),组织机构代码证复印件加盖公章。存在时,应提交分支机构的营业执照和组织机构代码证复印件加盖公章;
2) 临时场所清单(如工程建设施工组织在建项目清单、体系认证覆盖的临时服务点);
3) 至少应提供以下文件信息:方针、目标、范围、组织为过程运行及沟通而保持的信息,必须提供:组织简介、组织结构(组织机构图)、人员情况和职能分工、过程路线图/工艺流程图/过程描述(应明确说明关键过程和特殊过程)及其有关的过程文件,如:风险控制情况、对IT的应用等;
4) 关于认证活动的限制条件(如出于安全和/或保密等原因,存在时);
5) 体系方针和目标;
6) 支持管理体系的规程和控制措施;
7) 风险评估报告(含风险评估方法的描述);
8) 残余风险报告;
申请ISO 27701隐私信息管理体系认证的流程:
1、按照ISO 27701管理体系标准要求建立体系框架;
2、体系建立后,需要运行一段时间,最少三个月,产生三个月的运行记录;
3、向认证机构递交审核申请;
4、认证机构评估费用和正式审核时间;
5、认证机构将进行预审,在正式审核前排除一些重大的确失,同时让客户熟悉审核的方法危险评估,审查方针,范围和采用的程序。检查体系中遗漏和繁琐需要修改的地方;
6、认证机构将进行第二阶段审核,主要进行实施审核,查看程序规定的执行情况。认证机构通常将现场审核并给出建议;
7、如果能顺利完成审核,在确定清楚认证范围后,发放ISO 27701管理体系认证证书。在满足持续审核情况下,三年有效。
通过ISO 27701隐私信息管理体系认证的组织,将会被注册登记,在中国国家认证认可监督管理委员会(CNCA)网站进行查询。
