ISO/IEC 27701隐私信息管理体系认证
ISO/IEC 27701隐私信息管理体系认证
·隐私信息管理体系标准ISO/IEC27701隐私信息管理体系标准作为ISO/IEC27001与ISO/IEC27002在管理上的延伸标准,其目标是通过新增的要求来增强现有信息安全管理体系(ISMS),以便建立、实施、维护和不断改进隐私信息管理体系(PIMS),标准概述了适用于个人身份信息(PII)控制者和PII处理者的框架,用于隐私控制管理,以降低对个人隐私的各种风险。
业务背景
随着信息技术的不断发展,人们对信息安全的关注日益提升,全球多个国家和地区相继出台了一系列隐私保护的法律法规,例如欧盟的GDPR,中国的网络安全法,以及香港的个人隐私条例等,当前几乎所有的组织都有处理个人信息 (PII) 的情况。
面对愈加严格的监管趋势和众多且复杂的法律法规, 企业如何有效的管理和保护用户个人信息及隐私?
个人隐私安全管理体系国际标准。
ISO/IEC27001作为国际上公认的信息安全管理体系标准,在隐私保护方面提供了部分所需的信息安全控制措施,但如何从PII控制者和PII处理者二者不同的角度来实现和满足不同国家和地区的隐私保护法律法规的要求,并没有提供足够的操作指引。
因此,新标准ISO/IEC27701隐私信息管理体系应势而生。助力企业为GDPR合规展现、保护用户隐私和个人信息合规管理提供了更多相关要求和指南。
标准概述
ISO/IEC 27701是一项国际标准,规定了建立、实施、维护和持续改进隐私信息管理体系(PIMS)的要求。它还为支持组织将这些要求付诸实践提供了指导。该标准专为处理PII负有责任的个人身份信息(PII)控制者和处理者而制定。
2019年8月6日,国际标准化组织ISO和国际电工委员会IEC正式对外发布ISO/IEC27701隐私信息管理体系标准。这标志着信息安全、隐私与个人信息保护,在国际间法律与法规的合规展现有了一致性的标准。
2025年10月14日,国际标准化组织ISO和国际电工委员会IEC发布了第二版隐私信息管理体系标准,既ISO/IEC 27701:2025。
ISO/IEC27701作为ISO/IEC27001与ISO/IEC27002在管理上的延伸标准,其目标是通过新增的要求来增强现有信息安全管理体(ISMS),以便建立、实施、维护和不断改进隐私信息管理体系(PIMS),标准概述了适用于个人身份信息(PII)控制者和PII处理者的框架,用于隐私控制管理,以降低对个人隐私的各种风险。
(PS: 欧盟GDPR主责机构,前身为Article 29 Working Party的European Data Protection Board (EDPB),于ISO/IEC27701的发展过程中积极参与,并提供欧盟个人信息保护的相关建议,如ISO/IEC27701与GDPR的条文对应。包含SC27众会员国与EDPB,JTC1/SC27在各方达成合意后,公告了ISO/IEC27701,这也是为什么国际间认为ISO/IEC27701目前为GDPR合规展现的优秀方案之一。)
ISO/IEC 27701:2025标准包括了正文和附录部分,正文采取了ISO标准的高阶架构,其中:
第1至第3章:主要是适用范围、参考标准和名词定义的说明,ISO/IEC27701适用于任何类型的组织,包括政府、事业单位、金融、教育机构、企业及非营利组织。
第4章 组织环境:包括确定组织与隐私管理相关的内外部问题、相关方的需求和期望、管理体系范围等。
第5章 领导作用:包括最高管理者在隐私管理方面的支持与承诺、隐私方针、隐私管理相关的角色、职责与权限等。
第6章 策划:包括应对组织方面的风险和机遇以及应对措施,隐私风险评估和处置,建立适用性声明,隐私管理的目标以及管理体系变更的策划等。
第7章:包括资源、能力、意识、沟通和文件化信息的要求等。
第8章:包括体系运行策划与控制、实施隐私风险评估与处置等。
第9章:包括监视测量分析和评价,组织内部审核、管理评审等。
第10章:包括持续改进,不符合项和纠正措施等。
附录A-F:
|
附录 A |
(规范性)个人信息控制者与处理者的隐私信息管理体系(PIMS)参考控制目标与控制措施,其中: A.1 控制者要求 A.2 处理者要求 A.3 控制者和处理者通用要求 |
|
附录 B |
(规范性)个人信息控制者与处理者的实施指南 |
|
附录 C |
(资料性)与 ISO/IEC 29100 的对照关系 |
|
附录 D |
(资料性)与《通用数据保护条例》的对照关系 |
|
附录 E |
(资料性)与 ISO/IEC 27018 和 ISO/IEC 29151 的对照关系 |
|
附录 F |
(资料性)与 ISO/IEC 27701:2019 的对照关系 |
认证益处
1. 可以使用一个体系来管理来自不同国家和地区的多项隐私法规和政策的合规性;
2. 有助于组织向组织的最高管理层、合作伙伴、监管机构及其他相关方提供组织有关隐私法规工作的尽职管理证据;
3. 隐私信息管理体系认证能向客户和合作伙伴传递信任。
ISO/IEC27701隐私信息管理体系标准作为隐私保护和个人信息管理的ISO国际标准。不仅带来新增的特定隐私要求,以便有效整合现行ISO/IEC27001信息安全管理体系,未来更是针对隐私保护之特定领域 (PIMS-Specific),以 ISO/IEC27001延伸认证的方式实施,信息安全管理将与隐私信息管理进行密切整合。
认证规则
CNLPQP_PIMS_01 隐私信息管理体系认证规则 版本3
|
发布单位 |
发布日期 |
规则来源 |
|
通标标准技术服务有限公司 |
20251224 |
自行制定 |
适用范围
ISO/IEC 27701 隐私信息管理体系认证。本规则适用于任何处理PII的组织申请ISO/IEC 27701 隐私信息管理体系认证。
认证依据
ISO/IEC 27701:2025 信息安全,网络安全和隐私保护-隐私信息管理体系-要求和指南
|
发布单位 |
发布日期 |
实施日期 |
|
国际标准化组织ISO/国际电工委员会IEC |
20251014 |
20251014 |
认证流程
步骤1 – SGS根据组织的规模及业务类型提供定制化的建议,在您签署建议书后,审核即可开始。
步骤2 – SGS提供可选择的针对准备情况与薄弱环节的“预审”服务。
步骤3 – 正式审核。第一阶段——准备情况评估:对组织建立的文件化体系及其他重要体系进行评估,提出不符合项。
步骤4 – 第二阶段:包括与工作人员面谈、文件记录的检查以及对工作实践的现场考察,提出审核发现。审核合格后会签发证书。
步骤5 – 根据合同,每半年或一年对体系和整改计划的实施进行监督审核。
步骤6 – 证书签发满3年期后,实施再认证审核。
查看SGS实施守则、认证标志使用管理规则等通用条款与条件,请点击条款与条件
证书模板
 |
 |
我们的优势
作为国际公认的检验、鉴定、测试和认证机构,SGS在IT信息安全领域解决方案范围广泛,致力于为各行业机构提供全方位管理提升服务,包括:ISO/IEC27701、ISO/IEC29151、ISO/IEC27001、ISO/IEC20000、 CSA STAR、ISO/IEC27017、ISO/IEC27018、ISO22301、GDPR等培训、认证和审核相关服务。
