ISO27701认证 隐私管理体系认证标准ISO/IEC27701重点内容解读

ISO27701嵌套在ISO27000系列中，并要求符合ISO27001标准。

ISO27701扩展了ISO27001的要求，在原有管理、实施、操作、监控、审查和不断改进ISMS的流程基础上，着重考虑了对于企业所持有PII的隐私保护。

同时ISO27701对ISO27002实施指南中的隐私性进行了解释和扩展，除业务连续性以外的所有控制域均增加了关于PII隐私的实施指南。

ISO27701分别从PII控制者和PII处理者的角度，补充说明了收集和处理PII的条件、对PII主体的隐私保护义务、Privacy by design and privacy by default以及PII共享、转移和披露的相关要求。

ISO27701在对ISO 27001/27002的扩展要求中，除将“信息安全”替换为“信息安全和隐私”外，同时扩展了相关控制域中的控制项。

ISO27701 5.4规划中指出：

组织应在PIMS范围内应用信息安全风险评估流程来识别有可能会造成机密性、完整性和可用性丧失的相关风险；

组织应在PIMS范围内应用隐私风险评估流程来识别与PII处理相关的风险；

组织应在整个风险评估过程中确保信息安全与PII保护之间的关系得到适当管理。

组织可以根据自身PIMS情况，对信息安全和隐私保护进行统一流程的综合评估，也可以根据实际需要采用独立的流程进行分别评估。

ISO27002 6.3信息安全组织中指出：

组织应指定一个联系人处理客户的相关PII事务；

当组织是PII控制者时，需为PII主体指定PII联系人负责相关流程；

同时组织应指定一名或多名负责制定、实施、维护和监督组织范围内治理以及隐私计划的人员，以确保处理PII相关事务时的合规性。

负责人应酌情考虑:

a) 独立并直接向组织的适当管理层报告，以确保有效管理隐私风险；

b) 参与管理与处理PII有关的所有问题；

c) 成为数据保护立法，监管和实践方面的专家；

d) 充当监管机构的联络点；

e) 告知顶级管理层和组织员工在处理PII方面的义务；

f) 就组织进行的隐私影响评估提供建议。

要求组织需要根据自身角色配置响应的PII管理专职人员。

ISO27701中第7章和第8章分别对PII控制者和处理者的评估增加了额外指导，包括收集和处理PII的条件等控制域。

增加该章节可以明确标准对于PII控制者和处理者收集和处理PII的条件的限定范围，目的是使组织可以根据适用的司法管辖区的法律依据，以明确定义的、合法目的，确定并记录PII处理是合法的，且具有法律依据。

标准明确需要通过识别和记录PII处理目的、确定合法依据、确定何时以及如何获得许可、获取并记录许可、隐私影响评估、与PII处理者签署合同、明确联合PII控制者、维护与处理PII有关的记录8个方面对PII控制者进行管理和评估，通过客户协议、组织目的、营销和广告使用、侵权指令、客户义务、与处理PII有关的记录6个方面对PII处理者进行管理和评估。

该额外指导内容要求组织在明确自身身份的基础上，开展对收集与处理PII的条件相关的管理建设。

ISO27701的目标是通过对于隐私保护的控制实现对ISMS进行补充，使企业建立PIMS，实现有效的隐私管理，从而使企业获益。

ISO27701 ISO27701认证 ISO/IEC27701 ISO/IEC27701认证 隐私信息管理体系认证 ISO27701认证公司 ISO27701认证机构 ISO27701认证咨询公司

中鸿认证服务 www.cnqr.org 1998年至今 直办非中介 全国接单 远程或就近安排审核

新系统集成资质CS/ITSS/CCRC/DCMM认证，ISO三体系，售后服务/诚信认证，软件CMMI评估，互联网ISO27001/ISO27701/ISO20000认证，食品HACCP/ISO22000/BRC/绿色食品/有机食品，汽车16949认证，军工三证，实验室CMA/CNAS/10012，社会责任SA8000/ISO26000,医疗器械13485，知产贯标/能源体系/业务连续性等，产品认证（3C/绿色产品/十环）各类AAA信用评级等等，详见空间。

1.诚聘专兼职审核员（全国），专职咨询老师（成都），专职市场专员 年薪10-35万

2.全国诚招ISO认证代理人（企业版/个人版），转发信息即佣金，免费培训。

3.本年度ISO内审员免费培训开始了，每月免费名额有限，从速预计。