ISO体系针对各行各业都有相应的规范，以保障产品质量以及保护消费者的权益。互联网发展速度很快，但随之而来也产生了一些安全隐患，用户的隐私信息可能正在受到威胁。为了解决此项问题，ISO制定了ISO27701隐私信息管理体系认证。

　　一、IS027701隐私信息管理体系认证是什么?

　　ISO/IE隐私管理体系C27701PrivacyInformationManagementSystem(PIMS)是ISO国际标准化组织和IEC国际电工委员会联合发布的隐私信息管理体系国际标准，它是对ISO27001信息安全管理体系的扩展，在全球普遍受到认可，且具国际权威性。

　　ISO/IEC27701通过对隐私保护的控制对ISO/IEC27001进行补充，有效协助组织对隐私风险进行识别、分析、采取措施，确保符合高级别的隐私保护合规要求，将风险降到可接受水平并维持该水平，最终帮助组织建立完善的隐私信息管理体系，实现有效的隐私管理。

　　适用行业范围：

　　ISO/IEC27701认证适用于各个行业类别，涉及信息领域服务的任何大型或小型组织都可以申请认证。

　　二、ISO27701认证体系规定

　　1、收集和处理鉴别解决目地和处理的法律规定;确立获得允许的形式、时长，并留存相对应记录;开展个人隐私危害评定。

　　2、广告推广在没有事前征求个人信息行为主体允许前提下，不容易将个人信息用以广告推广。

　　3、解决责任明确并记录对个人信息行为主体所履行的法律义务和商业伦理责任，同时提供执行这种义务的方式;大力支持客户的修改权、撤销同意权、回绝权、删掉权、浏览权等个人信息支配权并留存相对应记录。

　　4、默认个人隐私保护保证流程及系统软件设计可以使个人信息的收集正确处理(包含应用、公布、储存、传送和删掉)仅限最少必需范畴，并留存有关记录。

　　5、共享迁移鉴别存不存在共享、迁移、公布、跨境电商传送个人信息的情况，并记录实际个人行为。

　　6、合同规定签订的书面协议应承诺个人信息维护的有关对策，比如操作权限操纵、个人信息泄漏汇报等。

　　7、员工技能培训可浏览个人信息的职工应签订保密协议书，并参加个人隐私保护与网络信息安全学习培训。

　　8、总体规划鉴别利益相关方的需要及希望，进一步明确体系管理的范畴;明确的内部工作人员义务及相关的目标与规划;确立实际的运转规划和控制方法，评定并处理风险性;内部结构按时审查并继续完善管理体系。

　　三、如何办理ISO隐私信息管理体系

　　1、按照ISO27701管理体系标准要求建立体系框架;

　　2、体系建立后，需要运行一段时间，至少3个月，产生3个月的运行记录;

　　3、向认证机构递交审核申请;

　　4、认证机构评估费用和正式审核时间;

　　5、认证机构将进行预审，在正式审核前排除一些重大损失，同时让客户熟悉审核的方法进行评估，审查方针，范围和采用的程序。检查体系中遗漏和繁琐需要修改的地方;

　　6、认证机构进行实施审核;

　　7、如果顺利完成审核，在确定清楚认证范围后，发放证书。

　　四、ISO体系认证需要哪些资料

　　1、公司执照及相关资质(需要时)

　　2、依据ISO27701标准建立的体系文件(一级和二级文件，至少包含SOA文件和程序文件)

　　3、体系建立后至少运行3个月以上

　　4、至少进行一次内部审核、一次管理评审

　　5、包含PIMS要求的隐私信息安全风险评估资料(至少有风险评估计划、风险处置计划和残余风险报告)

　　6、适用PIMS要求的法律法规清单

　　7、运营场所物理平面图及网络拓扑图

　　8、PII识别处理PII信息流涉及的信息系统、存储介质等清单

　　9、PII影响评估报告。

　　五、　　ISO/IEC 27701 隐私信息管理体系认证流程

　　1 –根据组织的规模及业务类型提供定制化的建议，在您签署建议书后，审核即可开始。

　　2 –提供可选择的针对准备情况与薄弱环节的“预审”服务。

　　3 –正式审核。第一阶段——准备情况评估：对组织建立的文件化体系及其他重要体系进行评估，提出不符合项。办理ISO27701隐私信息管理体系认证流程

　　4 –第二阶段：包括与工作人员面谈、文件记录的检查以及对工作实践的现场考察，提出审核发现。审核合格后会签发证书。

　　5 –根据合同，每半年或一年对体系和整改计划的实施进行监督审核。办理ISO27701隐私信息管理体系认证流程

　　6 –证书签发满3年期后，实施再认证审核。

　　六、　　ISO/IEC 27701 隐私信息管理体系认证的好处

　　1、帮助组织降低个人隐私、组织隐私和数据泄露的风险;

　　2、可以使用一个体系来管理来自不同国家和地区的多项隐私法规和政策的合规性;

　　3、帮助组织最大化IT治理过程，提升客户信任度、满意度和品牌声誉;

　　4、通过该认证的组织意味着其隐私信息管理能力达到国际水平。

　　七、　　ISO/IEC 27701隐私信息管理体系认证条件

　　1、企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件。

　　2、申请方已按照ISO27701标准要求建立体系并实施运行3个月以上。

　　3、至少完成一次数据保护/隐私影响评估、内部审核，并进行了管理评审。

　　4、体系运行期间及建立体系前一年内未受到主管部门行政处罚。

　　八、　　ISO/IEC 27701隐私信息管理体系适用范围

　　ISO/IEC 27701认证适用于各个行业类别，涉及信息领域服务的任何大型或小型组织都可以申请认证。

　　该标准设计的目的在于借助更多的要求增强现有 ISMS，以建立、实施、维护和持续改进隐私信息管理体系 (PIMS)。标准概述了适用于个人身份信息 (PII) 控制者和 PII 处理者的框架， 以有效管理隐私控制，降低个人隐私权面临的风险。

　　九、　　ISO/IEC 27701隐私信息管理体系认证优势

　　1、在利益相关方之间提供透明度

　　2、有助于增强信任

　　3、提供更具协作性的方法

　　4、更有效的业务协议

　　5、更清晰的角色和职责

　　6、通过与 ISO/IEC 27001 相结合减少复杂性

　　十、　　证书有效期

　　ISO27001的认证证书有效期是三年，期间每年要接受发证机构的监督审核(也称为：年检或年审)，三年证书到期后，要接受认证机构的再认证(也称为复评或换证)。

拓肯(北京)管理咨询有限公司

业务咨询：13552959587（微信同号）

固定电话：010-5605 4152

联系人：张老师

地址：北京市昌平区