ISO27701
VX/MP:18221886113
1. 什么是ISO27701
2019年8月6日,国际标准化组织(ISO)和国际电工委员会(IEC)发布了ISO27701—ISO27001和ISO27002的隐私扩展,旨在帮助组织机构保护和控制所处理的个人信息。与现有ISO标准ISO27701补充类似,该新ISO标准可能成为组织机构保护个人可识别信息(PII)的事实标准,且可能用于证明包括《通用数据保护条例》(EU)2016/679(GDPR)在内的全球隐私合规。
对安全合规而言,该新标准相当于锦上添花。著名的ISO27001筑基,新ISO27701则建立在此基础上,提供全面的信息安全控制和个人信息保护。
2. 为什么要申请ISO27701
威胁重重,数据滥用、数据窃取、隐私泄露以及“大数据杀熟”等数据安全问题呈现爆发趋势。在此背景下,全球各个国家纷纷颁布相关法律法规,对数据安全与隐私保护相关问题进行严格的规范与引导。如欧盟保护个人数据的《General Data Protection Regulation》 (GDPR);美国的 《California Consumer Privacy Act》(CCPA)等。为了应对越来越多的个人数据泄露或滥用的情况,国际范围迎来了隐私保护立法和建立标准热潮。
3. ISO27701认证的好处
ISO27701认证首先要求ISO27001合规,二者互为补充。遵从ISO27701要求的组织机构会留下其PII处理方式的书面证据,可用于推动与商业合作伙伴就PII处理问题签订协议,明确该组织机构与其他利益相关者间的PII处理方式。
ISO27701通过对隐私保护的的的控制实现ISMS进行补充,有效的协助组织对隐私风险进行识别,帮助组织建立PIMS,实现有效的隐私管理。
ISO27701的认证能在极大程度上表明组织符合GDPR的要求。
ISO27701的认证是组织最能证明其对法规负责的证明。
ISO27701适用于所有行业和各种规模的组织,涵盖了所有数据主体的个人信息处理,是公认的认证方案,能使商业伙伴和数据主题保证个人信息已得到妥善处理。
4. ISO27701认证的申请流程
申请认证的组织应建立符合ISO27701:2019标准要求的服务管理体系,在申请认证之前应完成内部审核和管理评审,并保证体系有效、充分运行三个月以上;组织应向我司提供服务管理体系运行的充分信息,对于多现场应说明各现场的认证范围、地址及人员分布等情况。
认证分两个阶段进行:第一阶段审核,主要进行文件审核并确认第二阶段审核准备的充分性;第二阶段审核,主要对体系的符合性和有效性进行评价,做出现场审核的推荐结论。
证书有效期3年,获得认证后每年进行一次监督。
