ISO體系針對各行各業(yè)都有相應的規(guī)范，以保障產(chǎn)品質(zhì)量以及保護消費者的權(quán)益?；ヂ?lián)網(wǎng)發(fā)展速度很快，但隨之而來也產(chǎn)生了一些安全隱患，用戶的隱私信息可能正在受到威脅。為了解決此項問題，ISO制定了ISO27701隱私信息管理體系認證。接下來，企常青為您整理介紹ISO27701體系認證是什么?如何辦理隱私信息管理體系認證?

一、ISO27701體系認證是什么?

ISO/IEC27701隱私信息管理體系PrivacyInformationManagementSystem(PIMS)是ISO國際標準化組織和IEC國際電工委員會聯(lián)合發(fā)布的隱私信息管理體系國際標準，它是對ISO27001信息安全管理體系的擴展，在全球普遍受到認可，且具國際權(quán)威性。

ISO/IEC27701通過對隱私保護的控制對ISO/IEC27001進行補充，有效協(xié)助組織對隱私風險進行識別、分析、采取措施，確保符合高級別的隱私保護合規(guī)要求，將風險降到可接受水平并維持該水平，最終幫助組織建立完善的隱私信息管理體系，實現(xiàn)有效的隱私管理。

適用行業(yè)范圍：

ISO/IEC27701認證適用于各個行業(yè)類別，涉及信息領(lǐng)域服務的任何大型或小型組織都可以申請認證。

二、ISO27701認證體系規(guī)定

1、收集和處理鑒別解決目地和處理的法律規(guī)定;確立獲得允許的形式、時長，并留存相對應記錄;開展個人隱私危害評定。

2、廣告推廣在沒有事前征求個人信息行為主體允許前提下，不容易將個人信息用以廣告推廣。

3、解決責任明確并記錄對個人信息行為主體所履行的法律義務和商業(yè)倫理責任，同時提供執(zhí)行這種義務的方式;大力支持客戶的修改權(quán)、撤銷同意權(quán)、回絕權(quán)、刪掉權(quán)、瀏覽權(quán)等個人信息支配權(quán)并留存相對應記錄。

4、默認個人隱私保護保證流程及系統(tǒng)軟件設計可以使個人信息的收集正確處理(包含應用、公布、儲存、傳送和刪掉)僅限最少必需范疇，并留存有關(guān)記錄。

5、共享遷移鑒別存不存在共享、遷移、公布、跨境電商傳送個人信息的情況，并記錄實際個人行為。

6、合同規(guī)定簽訂的書面協(xié)議應承諾個人信息維護的有關(guān)對策，比如操作權(quán)限操縱、個人信息泄漏匯報等。

7、員工技能培訓可瀏覽個人信息的職工應簽訂保密協(xié)議書，并參加個人隱私保護與網(wǎng)絡信息安全學習培訓。

8、總體規(guī)劃鑒別利益相關(guān)方的需要及希望，進一步明確體系管理的范疇;明確的內(nèi)部工作人員義務及相關(guān)的目標與規(guī)劃;確立實際的運轉(zhuǎn)規(guī)劃和控制方法，評定并處理風險性;內(nèi)部結(jié)構(gòu)按時審查并繼續(xù)完善管理體系。

三、如何辦理ISO27701隱私信息管理體系認證?

1、按照ISO27701管理體系標準要求建立體系框架;

2、體系建立后iso9001體系認證機構(gòu)，需要運行一段時間，至少3個月，產(chǎn)生3個月的運行記錄;

3、向認證機構(gòu)遞交審核申請;

4、認證機構(gòu)評估費用和正式審核時間;

5、認證機構(gòu)將進行預審，在正式審核前排除一些重大損失，同時讓客戶熟悉審核的方法進行評估，審查方針，范圍和采用的程序。檢查體系中遺漏和繁瑣需要修改的地方;

6、認證機構(gòu)進行實施審核;

7、如果順利完成審核，在確定清楚認證范圍后，發(fā)放證書。

四、ISO27701體系認證需要哪些材料?

1、公司執(zhí)照及相關(guān)資質(zhì)(需要時)

2、依據(jù)ISO27701標準建立的體系文件(一級和二級文件，至少包含SOA文件和程序文件)

3、體系建立后至少運行3個月以上

4、至少進行一次內(nèi)部審核、一次管理評審

5、包含PIMS要求的隱私信息安全風險評估資料(至少有風險評估計劃、風險處置計劃和殘余風險報告)

6、適用PIMS要求的法律法規(guī)清單

7、運營場所物理平面圖及網(wǎng)絡拓撲圖

8、PII識別處理PII信息流涉及的信息系統(tǒng)、存儲介質(zhì)等清單

9、PII影響評估報告。

上述內(nèi)容為“ISO27701體系認證”及認證相關(guān)流程及材料，如您在辦理過程中存在疑問，可咨詢企常青認證老師，我們會為您解答疑惑。