ISO體系針對各行各業(yè)都有相應(yīng)的規(guī)范，以保障產(chǎn)品質(zhì)量以及保護消費者的權(quán)益。互聯(lián)網(wǎng)發(fā)展速度很快，但隨之而來也產(chǎn)生了一些安全隱患，用戶的隱私信息可能正在受到威脅。為了解決此項問題，ISO制定了ISO27701隱私信息管理體系認證。接下來，企常青為您整理介紹ISO27701體系認證是什么?如何辦理隱私信息管理體系認證?

　　一、ISO27701體系認證是什么?

　　ISO/IEC27701隱私信息管理體系PrivacyInformationManagementSystem(PIMS)是ISO國際標準化組織和IEC國際電工委員會聯(lián)合發(fā)布的隱私信息管理體系國際標準，它是對ISO27001信息安全管理體系的擴展，在全球普遍受到認可，且具國際權(quán)威性。

　　ISO/IEC27701通過對隱私保護的控制對ISO/IEC27001進行補充，有效協(xié)助組織對隱私風險進行識別、分析、采取措施，確保符合高級別的隱私保護合規(guī)要求，將風險降到可接受水平并維持該水平，最終幫助組織建立完善的隱私信息管理體系，實現(xiàn)有效的隱私管理。

　　適用行業(yè)范圍：

　　ISO/IEC27701認證適用于各個行業(yè)類別，涉及信息領(lǐng)域服務(wù)的任何大型或小型組織都可以申請認證。

　　二、ISO27701認證體系規(guī)定

　　1、收集和處理鑒別解決目地和處理的法律規(guī)定;確立獲得允許的形式、時長，并留存相對應(yīng)記錄;開展個人隱私危害評定。

　　2、廣告推廣在沒有事前征求個人信息行為主體允許前提下，不容易將個人信息用以廣告推廣。

　　3、解決責任明確并記錄對個人信息行為主體所履行的法律義務(wù)和商業(yè)倫理責任，同時提供執(zhí)行這種義務(wù)的方式;大力支持客戶的修改權(quán)、撤銷同意權(quán)、回絕權(quán)、刪掉權(quán)、瀏覽權(quán)等個人信息支配權(quán)并留存相對應(yīng)記錄。

　　4、默認個人隱私保護保證流程及系統(tǒng)軟件設(shè)計可以使個人信息的收集正確處理(包含應(yīng)用、公布、儲存、傳送和刪掉)僅限最少必需范疇，并留存有關(guān)記錄。

　　5、共享遷移鑒別存不存在共享、遷移、公布、跨境電商傳送個人信息的情況，并記錄實際個人行為。

　　6、合同規(guī)定簽訂的書面協(xié)議應(yīng)承諾個人信息維護的有關(guān)對策，比如操作權(quán)限操縱、個人信息泄漏匯報等。

　　7、員工技能培訓(xùn)可瀏覽個人信息的職工應(yīng)簽訂保密協(xié)議書，并參加個人隱私保護與網(wǎng)絡(luò)信息安全學(xué)習(xí)培訓(xùn)。

　　8、總體規(guī)劃鑒別利益相關(guān)方的需要及希望，進一步明確體系管理的范疇;明確的內(nèi)部工作人員義務(wù)及相關(guān)的目標與規(guī)劃;確立實際的運轉(zhuǎn)規(guī)劃和控制方法，評定并處理風險性;內(nèi)部結(jié)構(gòu)按時審查并繼續(xù)完善管理體系。

　　三、如何辦理ISO27701隱私信息管理體系認證?

　　1、按照ISO27701管理體系標準要求建立體系框架;

　　2、體系建立后，需要運行一段時間，至少3個月，產(chǎn)生3個月的運行記錄;

　　3、向認證機構(gòu)遞交審核申請;

　　4、認證機構(gòu)評估費用和正式審核時間;

　　5、認證機構(gòu)將進行預(yù)審，在正式審核前排除一些重大損失，同時讓客戶熟悉審核的方法進行評估，審查方針，范圍和采用的程序。檢查體系中遺漏和繁瑣需要修改的地方;

　　6、認證機構(gòu)進行實施審核;

　　7、如果順利完成審核，在確定清楚認證范圍后，發(fā)放證書。

　　四、ISO27701體系認證需要哪些材料?

　　1、公司執(zhí)照及相關(guān)資質(zhì)(需要時)

　　2、依據(jù)ISO27701標準建立的體系文件(一級和二級文件，至少包含SOA文件和程序文件)

　　3、體系建立后至少運行3個月以上

　　4、至少進行一次內(nèi)部審核、一次管理評審

　　5、包含PIMS要求的隱私信息安全風險評估資料(至少有風險評估計劃、風險處置計劃和殘余風險報告)

　　6、適用PIMS要求的法律法規(guī)清單

　　7、運營場所物理平面圖及網(wǎng)絡(luò)拓撲圖

　　8、PII識別處理PII信息流涉及的信息系統(tǒng)、存儲介質(zhì)等清單

　　9、PII影響評估報告。