联系方式
审核员园地
查询证书

网站地图

您现在的位置:首页 - 主要业务 - 业务范围介绍

隐私信息管理体系认证

文章分类: 业务范围介绍

一、业务名称

ISO/IEC 27701 隐私信息管理体系认证

二、业务背景

近几年互联网应用层出不穷,大数据、云计算快速发展,人们在网络上留下的个人印记越来越多。通过对人们留在互联网上的痕迹进行采集、挖掘、提炼与分析之后,每个人的精准画像都被毫无保留地完整暴露在了网络世界中。

我国于2017年6月1日正式实施《中华人民共和国网络安全法》(通常简称《网安法》)。值得关注的是,《网安法》在数据(包括个人信息)安全与保护上也有诸多规定,例如第四十至四十五条。

欧盟于2018年5月25日正式实施了《通用数据保护条例》(《General Data Protection Regulation》,简称《GDPR》),其最为大家所熟悉的是2千万欧元或者4%的上一财年的全球收入的罚款准则。

了解以上这些,我们可以很清晰的发现,隐私泄露对企业的声誉、经营状况都会有严重的打击。在此背景下,ISO组织发布了隐私信息管理体系(PIMS)标准ISO/IEC 27701,为企业能够全面、合规的开展隐私信息管理提供了符合全球趋势的管理标准。

三、业务介绍

依据ISO/IEC 27701标准对组织的隐私信息管理进行认证

认证活动分为两个阶段:

一阶段,我们将依据ISO/IEC 27701标准确认贵公司的隐私信息管理体系框架是否与申报的认证范围相符,并商定二阶段审核所需的资源及时间安排。

二阶段,我们将详细确认ISO/IEC 27701标准的各项要求是否已在贵公司有效运行,从客观的第三方视角发现贵公司隐私信息管理可改进的内容。如果贵公司体系的运行状况不存在对认证结果的严重影响,我们将在15个工作日内完成发证流程。

可选服务:

内审员培训:体系的有效运行依赖于有效的内审,有效的内审离不开内审员对标准的正确理解,我们提供内审员培训服务助力贵公司真正掌握隐私信息管理的方法论,进而实现持续改进。

差距分析:我们在此过程中将仔细了解贵公司现有的隐私信息管理体系,并将其与ISO/IEC 27701的要求进行比较,形成详细的差距分析报告。这有助于我们在进行正式审核之前找到尚需改进之处,以节省整体项目的时间,并降低认证结论的不确定性。

四、适用企业类型及企业获得的价值

ISO/IEC 27701适用于所有组织,无论其规模、行业或业务性质如何。

2021年11月1日《个人信息保护法正式实施》,结合9月1日施行的数据安全法,我国数据安全领域的法律框架正在建立和完善。

个人信息保护法正式实施将自2018年GDPR生效以来引发的个人信息保护热潮推向了一个新高度,焦点在于其对企业的影响。个人信息保护法的一些规定,可能会对企业造成重大影响,比如规定有关数据平台企业要建立合规制度体系,明确其保护个人信息、定期发布个人信息保护社会责任报告等一系列法定义务。

需要注意的是,各国与隐私相关的法律不尽相同,GDPR、加州法案,以及澳大利亚或日本等国家都有自己的法律。这实际上造成了开展跨境数据业务的壁垒,而隐私信息管理体系提供了一套一致的隐私实践(即控制),可以根据任何隐私法进行映射。帮助企业提供尽职证明,获得更多业务机会。其他好处包括:能够向客户、供应商、监管机构和其他利益相关者保证,公司拥有完善的体系和流程,确保隐私信息合规。

五、需要做什么准备

正式认证前,贵公司应已建立同时满足ISO/IEC27001信息安全管理体系及ISO/IEC 27701标准的隐私信息管理体系,且体系运行时间需不少于三个月。

体系运行包括开展 ISO/IEC 27701 标准中要求的风险评估、隐私影响分析、内审及管理评审等管理活动。

六、项目周期、范围、企业需要配合的资源(比如时间、人员、物料等)

认证项目的周期由一阶段审核进场至证书发出约为四周。

隐私信息管理主要目的是满足客户的需求及合规的需求,所以通常需要贵公司的业务部门、技术研发部门、客服部门、信息安全部门及法务部门参与。

审核过程中如合适,请提供网络、办公场所及资料打印等支持。

可选服务周期:

内审员培训:2工作日

差距分析:4工作日

七、业务流程

申请认证的组织应建立符合ISO/IEC 27701:2019标准要求的隐私信息管理体系,同时,由于ISO/IEC27701标准是基于ISO/IEC 27001和ISO/IEC27002针对隐私信息的扩展,所以应当同时建立体系范围包含隐私信息的符合ISO/IEC 27001的信息安全管理体系。在申请ISO/IEC 27701认证之前组织应完成内部审核和管理评审,并保证体系运行三个月以上;组织应向认证中心提供隐私信息管理体系运行的充分信息,对于多现场应说明各现场的认证范围、地址及人员分布等情况,认证中心将以抽样的方式对多现场进行审核;

认证分两个阶段进行:第一阶段现场审核,包含文件评审并确认第二阶段审核准备的充分性;第二阶段审核,主要对体系的符合性和有效性进行评价,做出现场审核的推荐结论;

证书有效期3年,获得认证后每年进行一次监督;