在高速發(fā)展的大數(shù)據(jù)時(shí)代，越來(lái)越多用戶(hù)的隱私信息被收集或被惡意處理。隨著互聯(lián)網(wǎng)在實(shí)體經(jīng)濟(jì)上的應(yīng)用，越來(lái)越多平臺(tái)廣泛地收集著用戶(hù)信息，置身于這個(gè)依靠網(wǎng)絡(luò)連接世界的時(shí)代，我們的個(gè)人隱私仿佛無(wú)處安放，待到反應(yīng)過(guò)來(lái)，已然是亡羊補(bǔ)牢，難再筑起隱私信息的安全防線。

而對(duì)于企業(yè)來(lái)說(shuō)，科技的發(fā)展既能造福企業(yè)的發(fā)展，也會(huì)帶來(lái)諸多問(wèn)題。隱私信息管理已然是企業(yè)運(yùn)營(yíng)中不可忽視的一部分，在這其中不可或缺的便是ISO/IEC 27701隱私信息管理體系。通過(guò)ISO/IEC 27701隱私信息管理體系意味著隱私信息管理能力達(dá)到國(guó)際標(biāo)準(zhǔn)要求。

ISO/IEC 27701是什么？

ISO/IEC 27701隱私信息管理體系是在隱私保護(hù)方面對(duì)ISO/IEC 27001和ISO/IEC 27002的擴(kuò)展，針對(duì)保護(hù)可能受到個(gè)人信息收集和處理影響的隱私提供了更多相關(guān)指南。設(shè)計(jì)的目的在于借助更多的要求增強(qiáng)現(xiàn)有ISMS，以建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)隱私信息管理體系(PIMS)。ISO/IEC 27701標(biāo)準(zhǔn)概述了適用于個(gè)人身份信息(PII)控制者和PII處理者的框架，以有效管理隱私控制，降低個(gè)人隱私權(quán)面臨的風(fēng)險(xiǎn)。

?

?

ISO/IEC 27701適用于什么企業(yè)？

ISO/IEC27701標(biāo)準(zhǔn)的附加要求和指南對(duì)于任何規(guī)模的企業(yè)都具有實(shí)用性和可用性。

ISO/IEC 27701認(rèn)流程：

①申請(qǐng)認(rèn)證的企業(yè)應(yīng)已建立符合ISO/IEC 27001和ISO/IEC 27701標(biāo)準(zhǔn)要求的管理體系，在申請(qǐng)認(rèn)證之前完成內(nèi)部審核和管理評(píng)審，并保證體系有效、充分運(yùn)行三個(gè)月以上;

②企業(yè)提供管理體系運(yùn)行的充分信息，對(duì)于多現(xiàn)場(chǎng)應(yīng)說(shuō)明各現(xiàn)場(chǎng)的認(rèn)證范圍、地址及人員分布等情況，認(rèn)證機(jī)構(gòu)將以抽樣的方式對(duì)多現(xiàn)場(chǎng)進(jìn)行審核;

③認(rèn)證分兩個(gè)階段進(jìn)行：第一階段審核，主要進(jìn)行文件審核并確認(rèn)第二階段審核準(zhǔn)備的充分性;第二階段審核，主要對(duì)體系的符合性和有效性進(jìn)行評(píng)價(jià)，作出現(xiàn)場(chǎng)審核的推薦結(jié)論;

④通過(guò)ISO/IEC 27701認(rèn)證，獲得認(rèn)證證書(shū)。

ISO/IEC 27701的有效期限：

有效期3年，獲得認(rèn)證后每年進(jìn)行一次監(jiān)督。

`

企業(yè)通過(guò)ISO27701認(rèn)證意味著什么？

ISO/IEC 27701 該標(biāo)準(zhǔn)為企業(yè)和其他組織提供了一個(gè)國(guó)際通用的隱私信息管理工具，對(duì)于降低企業(yè)隱私合規(guī)難度，便于企業(yè)提供合規(guī)證明，增強(qiáng)社會(huì)各方對(duì)企業(yè)的信任程度具有重要意義。實(shí)施隱私信息管理，有以下價(jià)值與意義：

1) 合規(guī)。明確隱私保護(hù)管理合規(guī)目標(biāo)，減輕企業(yè)合規(guī)負(fù)擔(dān)的同時(shí)降低了企業(yè)合規(guī)風(fēng)險(xiǎn)，滿足了ISO27701標(biāo)準(zhǔn)也就意味著基本滿足GDPR的要求，而GDPR是眾多隱私保護(hù)法規(guī)中最為嚴(yán)格的。

2) 完善自身數(shù)據(jù)安全能力和風(fēng)險(xiǎn)管理。實(shí)現(xiàn)持續(xù)完善產(chǎn)品的非功能性要求，進(jìn)而展示出產(chǎn)品在處理個(gè)人隱私安全、安全治理的績(jī)效，通過(guò)流程分析，在流程的輸入、輸出、控制過(guò)程中，識(shí)別、分析、驗(yàn)證隱私保護(hù)需求、傳遞隱私保護(hù)價(jià)值，減少甚至消除隱私泄露的風(fēng)險(xiǎn)。

3) PIMS認(rèn)證可以傳遞信任。客戶(hù)或合作伙伴，尤其是政府組織、金融機(jī)構(gòu)作為承擔(dān)隱私風(fēng)險(xiǎn)的機(jī)構(gòu)，通常為要求PII處理者提供相關(guān)證據(jù)(如PIA分析報(bào)告)，從而證明PII處理者的產(chǎn)品能符合使用的隱私管理體系要求。合規(guī)透明度的提高對(duì)于組織戰(zhàn)略和業(yè)務(wù)決策至關(guān)重要，同時(shí)PIMS認(rèn)證也有助于向公眾傳達(dá)組織的可信度。

4) 企業(yè)業(yè)務(wù)層面的需要。企業(yè)業(yè)務(wù)競(jìng)標(biāo)或是某些項(xiàng)目合作中ISO 27701可為企業(yè)加分，證明企業(yè)自身在個(gè)人隱私保護(hù)領(lǐng)域的水平。

ISO/IEC 27701標(biāo)準(zhǔn)的正式發(fā)布，目的在于使組織能夠獲得針對(duì)ISO/IEC 27701的認(rèn)證，以此作為ISO/IEC 27001管理體系的擴(kuò)展。在此需要特別注意的是，我們建議計(jì)劃通過(guò)ISO/IEC 27701隱私信息管理體系的企業(yè)一并進(jìn)行ISO/IEC 27001信息安全管理體系，以證實(shí)對(duì)信息安全和隱私信息管理的承諾。

隱私信息安全的管理正在越來(lái)越規(guī)范和精細(xì)化。掌握隱私信息管理以及個(gè)人身份信息保護(hù)的實(shí)施方法，通過(guò)ISO/IEC 27001管理體系的認(rèn)證以應(yīng)對(duì)數(shù)據(jù)保護(hù)與隱私合規(guī)要求已是勢(shì)在必行。

企業(yè)需要從自身角度保障數(shù)據(jù)信息安全以及建立隱私信息的保護(hù)機(jī)制，確保自身權(quán)益得到保障，提高關(guān)于隱私信息安全的管理意識(shí)，提升對(duì)于自身信息數(shù)據(jù)資產(chǎn)的保護(hù)能力。

擎標(biāo)專(zhuān)業(yè)從事體系認(rèn)證和資質(zhì)認(rèn)證服務(wù)，擁有大量的認(rèn)證經(jīng)驗(yàn)及客戶(hù)案例，保障認(rèn)證結(jié)果，歡迎意向客戶(hù)咨詢(xún)！