ISO/IEC27701:2019隐私管理体系认证标准简介

数据滥用、数据窃取、隐私泄露以及“大数据杀熟”等数据安全问题呈现爆发趋势。在此背景下，全球各个国家纷纷颁布相关法律法规，对数据安全与隐私保护相关问题进行严格的规范与引导。

ISO/IEC 27701:2019标准的发布，将隐私保护的原则、理念和方法，融入到信息安全保护体系中，并且对PII控制者和PII处理者进行了较为详细且落地性强的规定，给企业在隐私保护和信息安全方面给出了指导建议。

一、ISO/IEC27701是什么？

ISO27701是隐私信息管理体系。

ISO/IEC 27701是对ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隐私扩展。它是一项国际管理系统标准体系，为保护个人隐私提供指导，包括组织应如何管理个人信息，并协助证明遵守了世界各地的隐私法规。

除了信息安全之外，还应考虑到处理PII所需的隐私保护。像ISO27001认证标准一样，ISO27701认证并不希望组织在所有情况下都采用每种控件。相反，它要求组织了解处理PII的特定上下文，并以适合其处理活动的方式调整特定的控件集以及这些控件的相关实现。为了更好地理解新标准ISO27701认证，应该理解两个关键术语：控制器和处理器。这些术语可在包括GDPR在内的许多隐私法律和法规中找到。通常，“控制者”是指首先收集和处理PII的原因的实体，“处理者”是负责代表该个人处理此类数据的独立法律实体（即，不是雇员）。简而言之，ISO27701认证是ISO27001认证的增强扩展。该标准可以提供通用数据保护法规（GDPR）要求的数据隐私和信息安全标准。为了有效地管理隐私，它包含用于个人身份信息（PII）处理器和控制器的结构。实施ISO27701将创建一个隐私信息安全管理体系，简称PIMS。

使用ISO27701认证作为数据安全性标准，可以向客户和利益相关者展示您的公司支持GDPR合规性和隐私法规。此外，它还可以确保您拥有他们可以信任的有效系统。通过使用控件降低个人和公司的潜在信息安全和隐私风险，您可以创建一个更值得信赖的品牌。

二、ISO27701隐私信息管理体系认证的好处有哪些？

ISO/IEC 27701 该标准为企业和其他组织提供了一个国际通用的隐私信息管理工具，对于降低企业隐私合规难度，便利企业提供合规证明，增强社会各方对企业的信任程度具有重要意义。实施隐私信息管理，至少获得如下收益：

1、增强对个人信息管理的信任；

2、在利益相关方之间提供透明度；

3、促进达成有效的业务协议；

4、明确角色和责任；

5、支持遵循隐私法规；

6、通过与领先的信息安全标准ISO/IEC 27001整合，降低复杂性。

三、哪些企业适合申请ISO27701

ISO/IEC27701认证向在信息安全管理体系中负责PII(个人身份信息)处理的任何组织提供指南。各种规模和类型的组织，包括上市公司和私营公司以及政府实体和其他类型的组织，都可以从中受益。它提供了一种基于风险的方法，可以帮助组织应对所面临的特定隐私风险以及个人数据和隐私风险。

四、ISO27701认证申请资料清单

1、法律证明文件（营业执照机构成立批文）；

2、生产许可证/资质证书/强制性认证证书等的复印件（根据国家及行业、部门的法律法规和标准要求）；

3、有效的管理体系文件（质量手册、程序文件等）；

4、申请认证的产品/服务的相关活动的简介认证范围涉及的多场所、在建项目、临时服务点清单（适用时）；

5、认证范围所涉及的必须遵守的法律、法规、标准清单和守法记录（如事故记录、违反法律法规或规章的记录）；

6、产品实现工艺流程图或服务提供过程流程图 ；

7、近两年国家或行业主管部门抽查报告（如有）；

8、不可接受风险清单 ；

9、有毒有害作业场所劳动卫生监测报告 ；

10、消防验收报告，安全生产许可证、特种设备检验报告等（适用时）。

五、ISO27701认证证书有效期是多久？是否需要年审？

ISO/IEC27701隐私信息管理体系认证证书有效期为：3年。需要年审！

ISO27001认证,信息安全管理体系认证,ISO27701认证,ISO27017认证,ISO27018认证,ISO29151认证,ISMS认证,ISO27001认证证书查询

ISO认证咨询服务网 www.cnqr.org

1998年至今  专业 稳定 一站式服务 非中介

招聘专兼职ISO审核员（全国/符合条件可免费定向培养）、招聘专职认证管理人员、招聘专职市场销售人员。