ISO29151体系认证如何准备?
总的来说,ISO29151个人隐私保护体系项目实施基于ISO29151标准内容和相关内外部合规要求,建立基于PDCA的持续改进机制。体系建设主要准备以下内容:
(一)个人数据生命周期梳理及PII信息清单编制
进行个人数据生命周期梳理要关注以下3个维度:
A. 业务场景:
公司有哪些业务场景涉及个人信息处理(业务流程、系统功能)?
上述业务场景中收集和处理个人信息的目的是什么?
适用哪些法律法规、监管条例、合同要求?
B. 数据处理角色:
各业务场景下的数据处理身份和责任?(控制者还是处理者)
有哪些数据委托处理、数据共享控制权的场景?
C. 数据生命周期:
业务场景中收集处理哪些个人信息?
对个人信息分级分类,哪些属于公司机密(敏感)信息?采用什么控制措施进行保护?
在各业务场景下,个人信息的数据流向是怎样的?存储在哪里?有无数据对外传输,甚至跨境存储传输?
在完成以上问题的确认后,便可以绘制出公司个人信息清单,以下是识别的个人信息清单样例:
(二)隐私风险影响评估(PIA)
对于PII信息的风险评估基于ISO29151的条款要求,可以参考ISO27001的风险评估实施方法,先识别整理出个人信息清单、数据流向图和目前公司在个人信息的收集、处理、存储、传输、销毁整个生命周期中采用的安全控制措施。
然后根据ISO29151条款附录A各控制目标对应的风险源、风险定义、对照每一条进行差距分析,看看公司现在实际的控制措施还存在哪些风险点,并根据风险影响程度与风险发生可能性进行打分,判定每一项的风险值(高、中、低)。
所有识别出的风险点都需要在管理评审会上明确责任人、风险处置措施和整改时间。
(三)适用性声明编写
和信息安全管理体系认证一样,ISO29151进行认证审核的前提也是需要完成适用性声明的编写。ISO29151适用性声明可参考信息安全管理体系的适用性声明格式,主要对ISO29151附录A的所有控制目标判断是否适用于企业,并描述企业的控制措施和对应体系文件。如下是编写的ISO29151适用性声明样表:
(四)管理体系文件更新
在编写适用性声明的同时也需要根据隐私风险评估结果和29151条款的内容更新管理体系文件。可以参考以下体系文件更新:
A《信息安全管理方针与政策》中增加了隐私保护政策,包括:
1.隐私保护遵循的法律法规
2.隐私保护组织架构说明
3.隐私政策内容要求
4.PII信息收集/处理/存储/传输的要求
5.隐私安全评估
6.PII信息对外披露或分包处理的要求
7.隐私保护培训
B《数据安全管理办法》、《敏感信息管理规范》中增加PII信息保护的说明
1.对于PII信息收集、使用、存储和传输提出具体的安全防护措施要求,如PII敏感数据在数据库中加密存储,应用系统前端脱敏展示等;
2.涉及PII信息处理的应用系统按照隐私默认原则设计,并在上线前由安全部进行检查。
C 隐私政策更新
隐私政策参考国标GBT 35273-2017《信息安全技术-个人信息安全规范》的隐私政策模板来编写,需要根据业务变化定期更新(主要是个人信息收集使用、共享场景的描述)。
