问答间了解ISO27701隐私信息管理体系
QISO27701是什么?
ISO/IEC 27701是国际标准化组织发布的隐私信息管理体系标准,全称《安全技术—扩展ISO/IEC 27001和ISO/IEC 27002的隐私信息管理—要求与指南》。
该标准基于PII相关组织和利益相关方要求;明确隐私影响评估的要求;针对组织作为PII控制者/PII处理者等组织角色,形成PIMS(隐私信息管理体系)。
该标准适用于所有类型和规模的组织,包括公共和私营公司、政府机构和非盈利组织。
QISO27701产生的背景是什么?
2018年欧盟GDPR生效,就提出了以第三方认证作为数据(特别是个人数据)传输的基础,但并未明确采信哪个标准。实际上包括GDPR在内,各国与隐私相关的法律不尽相同,加州法案,以及澳大利亚或日本等国家都有自己的法律,我国的《个人信息保护法》也于11月1日生效。因此,当前急需一种国际通行的隐私管理标准。
2021年,欧盟对第三方认证的要求做出了司法解释,其采信的第三方认证需由监管机构认可或国家认可机构认可。国家认可机构认可制度实际是IAF国际认可论坛围绕ISO相关标准确立的认可机制。ISO27701标准的推出,很大程度上可以满足各国相关隐私保护法律法规的要求。
Q国际和国内关于隐私保护的主要法律法规有哪些?
国内与隐私保护相关的法律法规包括:《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》等。
国际上与隐私保护相关的法律法规包括a美国:《隐私权法》、《电子通讯隐私法》、《金融服务现代化法案》、《儿童在线隐私权保护法案》、《健康保险携带和责任法》和《有效保护隐私权的自律规范》等;b欧盟:GDPR、《关于在个人数据处理过程中保护当事人及此类数据自由流通的指令》等;c日本:《个人信息保护法》等;d加拿大:《隐私法》和《个人信息保护与电子文件法》等;e国际交流:OECD《关于保护隐私和个人数据国际流通的指南》和《APEC隐私保护框架》等。
QISO27701与其他标准的关系如何?
ISO/IEC 27701的框架基于ISO/IEC 27001,同样遵循了ISO的管理体系标准高层结构HLS,故与其它ISO标准有良好的兼容性,便于组织实施整合的管理体系。同时,作为ISO标准中尾数为01的要求类标准,其有助于构建持续改进的管理框架。
QISO27701的核心术语PII、PII控制者和PII处理者是什么含义?
PII:个人可识别信息 Personally identifiable information (PII)注:也译作个人身份信息(a) 可用于识别此类信息相关的 PII 主体的任何信息;(b) 直接或间接链接到 PII 主体的信息;
PII控制者:确定处理个人可识别信息 (PII) 的目的和手段隐私利益相关者(或隐私利益相关者们),但不包括出于个人目的使用数据的自然人;
PII处理者:代表并按照 PII 控制者的说明处理个人可识别信息 (PII) 的隐私利益相关者。
QISO27701适合于哪些组织?
ISO/IEC 27701适用于所有组织,无论其规模、行业或业务性质如何。
Q实施ISO27701有什么价值?
隐私信息管理体系提供了一套一致的隐私实践(即控制),可以根据任何隐私法进行映射。实施ISO27701可以提高组织管理数据安全和隐私风险的能力,同时减轻组织合规负担、降低组织合规风险,帮助企业提供尽职证明,传达可信度,获得更多业务机会。
Q组织申请ISO27701有什么前提?
正式认证前,组织应已建立同时满足ISO/IEC27001标准的信息安全管理体系及ISO/IEC 27701标准的隐私信息管理体系,且体系运行时间需不少于三个月。
QISO27701标准的架构如何?
ISO/IEC 27701标准第1章到至第4章,给出了标准的范围、引用文件、术语和定义以及总则。
标准管理要求分布在第5章至第8章,其中第5章为ISO/IEC 27001的要求关于PII相关的扩展,第6章为ISO/IEC 27002的要求关于PII相关的扩展,第7章为针对PII控制者角色的管理要求,第8章为针对PII处理者角色的管理要求。
附录A-F给出了特定的控制目标与控制措施以及与其他标准和法规的映射关系。
Q实施ISO27701需要组织的哪些部门参与?
实施ISO/IEC 27701至少需要组织业务部门、技术研发部门、客户服务部门、信息安全部门和法务部门参与。
Q组织实施ISO27701的步骤有哪些?
实施ISO/IEC 27701的步骤包括风险评估、隐私影响分析、内审及管理评审。
QISO27701认证有哪些流程,初次获证一般需要多长时间?
ISO/IEC 27701的认证流程与ISO/IEC 27001保持一致,分为一阶段审核及二阶段审核,认证项目的周期由一阶段审核进场至证书发出约为四周。
Q企业获得ISO27701证书后如何维持证书有效性?
维持ISO/IEC 27701证书的的有效性需接受每年一次的监督审核,每次监督审核之间的时间间隔不超过12个月,自获证后的第三年为再认证审核,换发新的认证证书。
问答间了解ISO27701隐私信息管理体系相关推荐
- 【官宣】飞书荣获全球第一批ISO/IEC 27701:2019标准认证,隐私安全管理体系全球领先
近日,飞书获得由国际顶尖认证机构BSI(British Standards Institution)颁发的ISO/IEC 27701:2019隐私信息管理体系认证证书,是全球首批获得该认证的企业之一, ...
- 【天光学术】信息管理论文:面向客户的商业银行信息管理体系探析(节选)
摘要:随着时代的不断进步,互联网金融.大数据.区块链等新兴金融业态和信息技术不断涌现,传统商业银行的经价模式不断受到冲击传统商业银行要想在金融自由化和信息化的浪潮中不被淘汰,必须加强对信息技术的支持力 ...
- iso体系认证有哪些?
最常见的ISO体系认证--"三体系"(简称QES):质量.安全.职业健康安全管理体系 ISO9001认证(质量管理体系) ISO9001是国际标准化组织(ISO)制定的质量管理体系 ...
- 与擎标同行 | etsme个人私有云获ISO27001 ISO27701隐国际双认证
近日,在上海擎标顾问团队的指导下,亿次网联(杭州)科技有限公司旗下核心产品etsme个人私有云(以下简称"etsme")顺利通过ISO27001信息安全管理体系认证及ISO2770 ...
- 【观察】vivo:为用户隐私持续“保驾护航”,久久为功筑牢数据安全防线
相信大家如今在生活中都会接到类似的各种各样的骚扰电话,从推销房产到育儿养老可谓"花样百出".而尤为严重的是,随之而来还有各种网络诈骗犯罪活动,而在这背后最为主要的原因就是个人信息和 ...
- 2022中国MarTech领域最具商业合作价值企业盘点
数据智能产业创新服务媒体 --聚焦数智 · 改变商业 自2022年3月初,数据猿正式推出以"数智力·新格局"为主题的"2022行业盘点季大型主题策划活动"以来, ...
- 带您了解【DSMM】评估中必须要知道的知识点
近年来,随着信息技术和人类生产生活交汇融合,通过网络收集.存储.传输.处理和产生的各种数据迅猛增长.海量数据聚集并成为重要的市场经济要素,对经济发展.社会治理.人民生活都产生了重大而深刻的影响.201 ...
- 什么是数据标注? 数据标注公司主要做什么?
一.什么是数据标注? 1.数据标注定义 数据标注是对未经处理的语音.图片.文本.视频等数据进行加工处理, 并转换为机器可识别信息的过程.原始数据一般通过数据采集获得, 随后的数据标注相当于对数据进行加 ...
- 盘点个人信息保护方面的那些认证
11月18日,多家媒体平台转发了<关于关于实施个人信息保护认证的公告>,"公告"由国家市场监督监管总局.国家互联网信息办公室联合发布,这也代表着在个人信息保护领域政策的 ...
最新文章
- 排队问题解题思路_高考文科数学是最“拉分”的!6种题型分析与10大解题方法...
- javascript正则表达式总结(test|match|search|replace|split|exec)
- 三、华为鸿蒙HarmonyOS应用开发HUAWEI DevEco Studio实现页面跳转
- 【活体检测】二分类活体检测评价方式
- jquery 判断是否是浮点数_jquery或者js获取到元素宽高精确到小数
- (转)VC++多线程编程
- 推模式下dataset1下显示的是...未找到项目... 问题的解决
- javascript 遍历数组的常用方法(迭代、for循环 、for… in、for…of、foreach、map、filter、every、some,findindex)
- ubuntu linux打印系统时间
- java连接数据库的详细步骤?
- 小工具-FTP文件传输(FlashFXP4.4.2 )
- 简单记录 03.21
- 服务器系统自带的系统清理工具,一键清除系统垃圾
- 《管理的常识》3-“什么是组织结构”读后感及读书笔记
- 电子书产品日趋丰富,科大讯飞智能办公本仍是理想之选
- 基于opencv-python的人脸识别、眼睛识别和微笑识别
- “师创杯”山东理工大学第九届ACM程序设计竞赛 正式赛 I.皮卡丘的梦想2【树状数组】水题
- mysql 触发器 修改记录_mysql触发器
- React源码分析(二)= Reac初次渲染分析
- Matlab rand()函数用法