首页 > 资讯中心 > 公司动态 > 详情

ISO27701隐私信息管理体系标准的主要要求

ISO27701隐私信息管理体系证书

     ISO/IEC 27701:2019是国际标准化组织(ISO)和国际电工委员会(IEC)在ISO/IEC 27001和ISO/IEC 27002的基础上联合发布的首部针对隐私信息管理的国际标准,其对隐私信息管理体系的建立、运行、维护和完善做出了相关的细化要求,提供了国际通用的隐私管理合规实践,帮助企业构建多维度的信息安全和个人信息保护管理体系。
    该标准于2019年8月发布,也被视为目前全球隐私保护领域最权威的认证之一,在国际享有较高的认可度。该标准与GDPR的很多条款之间存在映射关系,覆盖了GDPR的大部分要求。因此,ISO/IEC 27701:2019的认证能在极大程度上表明相关企业符合GDPR的要求,达到了国际领先的隐私保护水平。
     ISO/IEC 27701:2019详细阐述了适用于个人信息控制者和个人信息处理者的合规要求,明确了不同的业务场景的责任边界。标准的要求主要集中在以下方面:
    (1)收集与处理:识别处理目的与处理的法律依据;明确获取同意的方式、时间,并留存相应记录;进行隐私影响评估。
    (2)广告营销:在未事先征得个人信息主体同意的前提下,不会将个人信息用于广告营销。
   (3)处理义务:确定并记录对个人信息主体所履行的法定义务和商业道德义务,并提供履行这些义务的方法;积极响应用户的修改权、撤回同意权、拒绝权、删除权、访问权等个人信息权利并留存相应记录。
    (4)默认的隐私保护:确保流程和系统的设计能够使个人信息的收集和处理(包括使用、披露、存储、传输和删除)仅限于最小必要范围,并留存相关记录。
    (5)共享转移:识别是否存在共享、转移、披露、跨境传输个人信息的情形,并记录具体行为。
    (6)合同约定:签署的书面合同应约定个人信息保护的相关措施,例如操作权限控制、个人信息泄露报告等。
    (7)员工培训:可访问个人信息的员工应签署保密协议,并参与隐私保护与数据安全培训。
    (8)整体规划:识别相关方的需求及期待,并明确管理体系的范围;确定内部的人员责任及相应的目标与规划;明确具体的运行计划和控制措施,评估并处置风险;内部定期评审并持续完善管理体系。
    ISO/IEC 27701:2019细化了个人信息全生命周期的隐私保护要求,厘清合作中不同角色的责任义务,在内部管理流程的各个环节中识别、分析、验证隐私保护需求,在帮助企业减少隐私泄露风险的同时,也便于企业提供合规证明。
    《个人信息保护法》在第五章“个人信息处理者的义务”部分特别强调,相关企业应制定内部管理制度和操作规程,并履行合规审计的义务。ISO/IEC 27701:2019标准就对管理制度和操作规程的具体内容做出了细化规范,同时第三方测评机构每年进行合规审计来维持证书的有效性,也在一定程度上满足了《个人信息保护法》的合规审计义务。

    Tags标签:ISO27701认证隐私信息管理体系ISO27701隐私信息管理体系标准的主要要求
2020-2021 © 版权所有:北京慧易行信息技术有限公司 网站地图 sitemaptxt 京ICP备2021034201号
服务项目:ITSS咨询、ITSS资质咨询、ITSS证书咨询、ITSS办理条件咨询、ISO27001信息安全咨询、CMMI评估咨询、CCRC信息安全服务资质咨询等。 Powered by a0511.cn
电话咨询 短信咨询 联系我们