ISO/IEC 27701:2019是一个国际标准,为组织提供了一个隐私信息管理系统(PIMS)的框架,旨在增强个人隐私权的保护。这个标准是ISO/IEC 27000系列标准的一部分,该系列是由国际标准化组织(ISO)和国际电工委员会(IEC)共同发布的信息安全管理体系(ISMS)标准。
ISO/IEC 27701的核心内容是提供了一套隐私信息管理系统(PIMS)的框架,以增强个人隐私权的保护。它提供了一种机制,帮助组织理解并控制个人数据的处理活动,从而满足隐私法规的要求。
1、隐私管理要求:该标准提供了一套隐私管理的要求,用于建立、实施、维护和持续改进PIMS。
2、隐私控制:这些控制项覆盖了个人数据的处理活动,包括收集、使用、存储、传输和删除等。
3、风险管理:标准强调了风险管理的重要性,在处理个人数据时需要进行风险评估,并应用适当的控制来降低风险。
ISO/IEC 27701主要适用于所有处理个人数据的组织,无论是公共部门还是私人部门,无论是大型企业还是小型企业,包括:
1、数据控制者:即确定个人数据处理目的和方式的实体。
2、数据处理者:即按照数据控制者的指示处理个人数据的实体。
1、隐私信息管理政策:这是一份文档,概述了组织对隐私信息管理的总体方针和承诺。
2、隐私影响评估:这是对组织处理个人数据可能产生的隐私影响进行评估的过程,其结果应被记录下来。
3、风险评估报告:就像在ISO/IEC 27001认证中一样,组织需要进行风险评估,识别和评估与处理个人数据相关的风险。
4、风险处理计划:基于风险评估结果,组织需要制定风险处理计划,明确如何管理和减少这些风险。
5、控制实施文档:这些文档应详细描述组织如何实施ISO/IEC 27701中的隐私控制。
6、员工培训材料:组织需要提供证明其已对员工进行了关于隐私保护和个人数据处理的适当培训的证据。
7、审计和监控记录:组织需要定期审计和监控其隐私控制的有效性,并保留相关记录。
8、持续改进的证据:组织需要提供证据,证明其正在持续改进其隐私信息管理系统(PIMS)。
问:ISO 27701和ISO 27001有什么区别?
答:ISO 27701是ISO 27001标准的补充,是一种针对隐私信息管理的扩展。与ISO 27001标准不同,ISO 27701标准专注于个人隐私数据的处理和保护,包括隐私风险评估和管理、隐私信息安全控制、隐私信息保护授权和许可、隐私信息保护培训和意识以及隐私信息保护监督和评估等方面。
问:ISO 27701标准的实施需要多长时间?
答:ISO 27701标准的实施时间取决于组织的规模、复杂性和现有的隐私信息管理体系。通常情况下,实施该标准需要数月至一年的时间。组织可以根据其实际情况和需求,调整实施时间和进度。
问:ISO 27701标准的实施成本是多少?
答:ISO 27701标准的实施成本取决于组织的规模、复杂性和现有的隐私信息管理体系。通常情况下,实施该标准需要投入一定的人力、物力和财力资源。组织可以根据其实际情况和需求,评估实施成本并制定相应的预算计划。
出证后付尾款,不成功不收费
每张证书信息,均有认监委备案
所有认证项目,承诺当天申报
泽林承诺,无隐形收费
