为什么众多知名企业申请ISO27701隐私信息管理体系认证
ISO/IEC 27701:2019是全球首个隐私管理体系标准,由国际标准化组织(ISO)和国际电工委员会(IEC)共同制定。该标准以ISO/IEC 27001和ISO/IEC 27002扩展的形式,为建立、实施、维护和持续改进隐私信息管理体系(PIMS)提出要求并提供指南,可以更好地在组织环境内实施隐私管理。
ISO/IEC 27701的目标是通过对隐私保护的控制对ISMS进行补充,有效协助组织对隐私风险进行识别、分析、采取措施,将风险降到可接受水平并维持该水平,最终帮助组织建立完善的个人信息管理体系(PIMS),实现有效的隐私管理。而通过明确对个人验证信息(PII)控制者和处理者的隐私保护要求,可以让组织明确隐私保护管理合规目标,确保组织高级管理层、组织所有者以及关键相关方的利益满足隐私保护要求,从而使组织实现长期的个人隐私安全合规。
该标准与ISO/IEC 27001 配合使用,是认证要求和实施指南的组合体。 它是对ISO/IEC 27001 的扩展,因其增加了附加的PIMS 相关要求,如条款5、附录 A 和附录 B。认证要求在标准中共有67项,表述为'应'。同时,为组织实施 PIMS,还增加了从ISO/IEC 27002 到 PIMS的附加指南,例如条款6、7和8。
一、主要条款详情:
条款5:与 ISO27001 相关的PIMS特定要求
涵盖了对 ISO/IEC 27001:2013 条款4~10附加的要求,均为认证要求。例如,如本标准中条款5.7.2 的表述:ISO/IEC 27001:2013,9.2 中所述要求以及5.1 中所述的解释均适用。
该标准不增加任何新的内部审核要求,只要组织理解这是ISO/IEC 27001:2013 对处理个人可识别信息(PII)所可能增加风险的“信息安全”要求。
条款6:与ISO27002相关的PIMS特定指南
涵盖了与ISO/IEC 27002有关的其他PIMS相关指南。例如,标准条款6.9.4.4(与 ISO/IEC 27001:2013 的12.4.4 时钟同步相对应)不包含任何附加要求,因为时钟同步与隐私风险没有相关性。另一方面,标准条款6.9.3.1 (与 ISO/IC 27001:2013 的12.3.1 信息备份相对应)则增加较多的隐私管理指南,因为信息备份可能存在隐私风险,例如数据保留期、跨境数据传输等。下表总结了 ISO/IEC 27002 各个领域中的控制点的数量。在 ISO/IEC 27002 中,共对32项新的控制点进行了修订。与ISO/IEC 27002一样,条款6中的指南为非认证条款。
条款7:对PII控制者附加的ISO27002指南
为 PII 控制者提供指南。对于 PII 控制者所需的所有控制点都列在标准的附录A 中。这些控制点是规范性的,这意味着如果组织作为控制者,则应实施这些控制(参见如下认证中的 PII 控制者与PII 处理者)。条款7中所提供的指南有助于组织实施这些控制。然而,这些指南为非认证性的。
条款8:对PII处理者附加的ISO27002指南
为 PII 处理者提供指南。本标准附录 B 列出了 PII 处理者的控制点。与附录 A 相似,如果组织作为处理者,这些控制点是规范性的。条款8的指南是非认证性的。
二、企业获得 ISO27701 认证的益处
1、获取客户关于组织对隐私信息管理方面的信任,以获得潜在业务
2、证实组织对其产品和服务目标市场所在地隐私法规的遵从,获得所在地的市场准入
3、向相关方证实其在隐私管理方面的能力和符合性
4、组织自身为证实其在隐私管理方面的能力和符合性
三、已经获得ISO27701隐私信息管理体系证书的企业有:
阿里云、百度云、腾讯云、抖音、顺丰、飞书、华为云、滴滴、平安云、OPPO、小米、vivo、链家、平安产险、网商银行、大华股份、科大讯飞、热云、白山云、百融云创、七牛云、美的、贝壳找房等。
