欢迎访问中质捷官网,我们诚挚的期待与您进行长期合作。

客服热线         400-8080-713

图片展示
图片展示
  2. 首页
  3. >
  4. 知识分享
  5. >
  6. ISO/IEC 27701隐私信息安全管理体系是什么?
搜索

ISO/IEC 27701隐私信息安全管理体系是什么?

文章作者:       发布时间:2023-10-24 10:55:15       浏览量:

分享

ISO/IEC 27701是对ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隐私扩展,全称《安全技术—扩展ISO/IEC 27001和ISO/IEC 27002的隐私信息管理—要求与指南》。

ISO/IEC 27701隐私信息安全管理体系是什么?

什么是ISO/IEC 27701

       

 

ISO/IEC 27701是对ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隐私扩展,全称《安全技术—扩展ISO/IEC 27001和ISO/IEC 27002的隐私信息管理—要求与指南》。 它是ISO标准委员会以ISO 27001为基准,以ISO 27552为蓝本,建立发布的隐私信息管理体系标准,为保护个人隐私提供指导。 ISO/IEC 27701标准的发布,填补了隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并且对PII控制者和PII处理者进行了较为详细且落地性强的规定,给企业在隐私保护和信息安全方面给出了指导建议。

 

 

ISO/IEC 27701标准介绍

 

 

关键术语解释


PII:
个人可识别信息Personally identifiable information,也译作个人身份信息
PII控制者:
确定处理PII的目的和手段隐私利益相关者,但不包括出于个人目的使用数据的自然人
PII处理者:
代表并按照 PII 控制者的说明处理PII的隐私利益相关者
PIMS:
隐私信息管理体系
Customer:
PII控制者的customer: 与PII控制者有合约关系的组织,可以是共同控制者PII处理者的customer: 与PII处理者有合约关系的PII控制者


 

 

ISO 27701结构组成


 

 

与ISO/IEC 27001之间的关系


ISO / IEC 27701 是ISO / IEC 27001信息安全管理的隐私扩展,是由其衍生的。 由于许多组织已经建立了基于ISO/IEC 27001的信息安全管理体系(ISMS) ,并以ISO/IEC 27002为指导,为保护隐私奠定了基础。

ISO/IEC 27701通过附加要求来增强现有的信息安全管理体系,以便建立、实施、维护和持续改进隐私信息管理系统(PIMS)。


a) ISO27701是ISO27001和ISO27002在隐私方面的扩展。
b) ISO27002为ISO27001提供风险处置具体的控制目标和控制措施。
c) ISO29100、ISO27018、ISO29151均为隐私方面的标准,有不同的侧重点,与ISO27701互为补充。
d) ISO27001帮助企业建立ISMS,通过有效的风险管理来保护和管理组织的所有信息,从数据安全方面满足GDPR的部分要求。
e) ISO27701加入了隐私保护的额外要求,更全面地覆盖了GDPR的要求。

《ISO/IEC27701,安全技术-扩展的ISO/IEC27001和ISO/IEC 27002-隐私信息管理要求和指南》的发布,填补了目前隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并且对PII控制者和PII处理者进行了较为详细且落地性强的规定,细化了隐私信息管理的要求,给企业在隐私保护和信息安全方面给出了指导建议。


 

 

ISO/IEC 27701认证介绍

 

 

ISO/IEC 27701认证的适用范围


标准设计的目的在于借助更多的要求增强现有 ISMS,以建立、实施、维护和持续改进隐私信息管理体系 (PIMS)。 标准概述了适用于个人身份信息 (PII) 控制者和 PII 处理者的框架, 以有效管理隐私控制,降低个人隐私权面临的风险。 它适用于所有类型和规模的组织,包括公共和私营公司、政府实体以及非盈利组织

 

ISO/IEC 27701认证的申报条件


1、企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件。

2、申请方已按照ISO27701标准要求建立体系并实施运行3个月以上。

3、至少完成一次数据保护/隐私影响评估、内部审核,并进行了管理评审。

4、体系运行期间及建立体系前一年内未受到主管部门行政处罚。


 

ISO/IEC 27701认证所需的资料


1、公司执照及相关资质(需要时)

2、依据ISO27701标准建立的体系文件(一级和二级文件,至少包含SOA文件和程序文件)

3、体系建立后至少运行3个月以上

4、至少进行一次内部审核、一次管理评审

5、包含PIMS要求的隐私信息安全风险评估资料(至少有风险评估计划、风险处置计划和残余风险报告)

6、适用PIMS要求的法律法规清单

7、运营场所物理平面图及网络拓扑图

8、PII识别处理PII信息流涉及的信息系统、存储介质等清单

9、PII影响评估报告等。


 

企业实施 ISO/IEC 27701项目步骤


1)对现有ISMS进行符合ISO27701认证要求的差距评估,并就如何解决这些差距制定行动计划。
2)对组织收集的PII进行数据映射,以了解收集的II的范围以及如何使用和与处理器共享。
3)根据与组织环境相关的内部或外部因素(例如适用的隐私法规,法规,司法决定或合同要求)确定组织作为控制者和/或处理者的角色。
4)查看并更新隐私策略,以确保它们包含必需的信息。
5)制定适用于组织角色的政策和程序。
6)通过设计和默认原则开始规划和实施隐私。

 

如何快速通过认证


前提条件
组织应已建立同时满足ISO27001标准的信息安全管理体系及ISO27701标准的隐私信息管理体系,且体系运行时间需不少于三个月。 (未强制要求企业已经通过ISO27001认证);

参与部门
实施ISO/IEC 27701至少需要组织业务部门、技术研发部门、客户服务部门、信息安全部门和法务部门;

实施周期
正常从项目开始启动,通过差距分析,辅以培训,建立隐私信息安全保护体系并推广实施,经第三方机构认证审核,整个周期在6-8周;

所需材料
包括但不限于:
公司基础资料、现有业务流程
隐私安全管理制度、隐私保护风评材料
隐私适用性声明......


 

ISO/IEC 27701证书有效期

证书有效期: 三年 ,每年需年审

     

 

/seo-90

/seo-88

服务优势

Service Advantages

中质捷成立于2014年,是国内领先的企业管理咨询服务机构,业务覆盖全国并拓展至德国、美国、日本等十余个国家,累计服务客户超5000家。公司以“为客户创造价值,助力每一家客户持续成功”为使命,在山东、长三角、珠三角设立核心业务基地,并建有青岛技术研发中心,汇聚115名专业人才(本科及以上学历占比85%),致力于通过技术革新与定制化服务,助力客户实现持续成功。

 

公司核心优势包括专业团队、高效服务与行业深耕60余位全职咨询师及讲师均具备跨国企业与多行业服务经验,提供从体系认证(如ISO三体系、IATF16949汽车标准、AS9100航空体系等)到流程优化的一站式解决方案,覆盖汽车、航空航天、医疗、能源等20余个领域。通过“一对一服务团队”模式,确保客户需求快速响应,并辅以目标保障、免费答疑、行业资讯分享等持续支持,助力企业提升管理效能。

 

中质捷组建了涵盖项目总监、技术专家、客服监管的专业团队,确保项目全流程高效落地。同时提供多元培训服务,包括ISO内审员课程、行业工具培训(如VDA6.3、五大工具)及定制化企业内训,通过线上线下结合的方式赋能客户。

 

凭借扎实的行业积累与创新服务模式,中质捷已成为多领域企业管理升级的合作伙伴。

 

图片展示

定制服务

Customised services

图片展示

快速获取定制方案

  • 姓名 *

  • 电话 *

  • 咨询项目 *

  • 提交

客服联系方式

 

 

 

 

400-8080-713

zhongzhijie@stdcert.com

 

 

中质捷标准技术服务(深圳)有限公司

 

首页      体系认证      培训服务      验厂服务      产品认证      知识分享      联系我们

图片展示
添加微信好友,详细了解产品
使用企业微信
“扫一扫”加入群聊
复制成功
添加微信好友,详细了解产品
我知道了
粤ICP备2023033344号