在高速发展的大数据时代,越来越多用户的隐私信息被收集或被恶意处理。随着互联网在实体经济上的应用,越来越多平台广泛地收集着用户信息,置身于这个依靠网络连接世界的时代,我们的个人隐私仿佛无处安放,待到反应过来,已然是亡羊补牢,难再筑起隐私信息的安全防线。
而对于企业来说,科技的发展既能造福企业的发展,也会带来诸多问题。隐私信息管理已然是企业运营中不可忽视的一部分,在这其中不可或缺的便是ISO/IEC 27701隐私信息管理体系。通过ISO/IEC 27701隐私信息管理体系意味着隐私信息管理能力达到国际标准要求。
ISO/IEC 27701是什么?
ISO/IEC 27701隐私信息管理体系是在隐私保护方面对ISO/IEC 27001和ISO/IEC 27002的扩展,针对保护可能受到个人信息收集和处理影响的隐私提供了更多相关指南。设计的目的在于借助更多的要求增强现有ISMS,以建立、实施、维护和持续改进隐私信息管理体系(PIMS)。ISO/IEC 27701标准概述了适用于个人身份信息(PII)控制者和PII处理者的框架,以有效管理隐私控制,降低个人隐私权面临的风险。
ISO/IEC 27701适用于什么企业?
ISO/IEC27701标准的附加要求和指南对于任何规模的企业都具有实用性和可用性。
ISO/IEC 27701认流程:
①申请认证的企业应已建立符合ISO/IEC 27001和ISO/IEC 27701标准要求的管理体系,在申请认证之前完成内部审核和管理评审,并保证体系有效、充分运行三个月以上;
②企业提供管理体系运行的充分信息,对于多现场应说明各现场的认证范围、地址及人员分布等情况,认证机构将以抽样的方式对多现场进行审核;
③认证分两个阶段进行:第一阶段审核,主要进行文件审核并确认第二阶段审核准备的充分性;第二阶段审核,主要对体系的符合性和有效性进行评价,作出现场审核的推荐结论;
④通过ISO/IEC 27701认证,获得认证证书。
ISO/IEC 27701的有效期限:
有效期3年,获得认证后每年进行一次监督。
ISO/IEC 27701的价值与意义:
ISO/IEC 27701 该标准为企业和其他组织提供了一个国际通用的隐私信息管理工具,对于降低企业隐私合规难度,便于企业提供合规证明,增强社会各方对企业的信任程度具有重要意义。实施隐私信息管理,有以下价值与意义:
1) 合规。明确隐私保护管理合规目标,减轻企业合规负担的同时降低了企业合规风险,满足了ISO27701标准也就意味着基本满足GDPR的要求,而GDPR是众多隐私保护法规中最为严格的。
2) 完善自身数据安全能力和风险管理。实现持续完善产品的非功能性要求,进而展示出产品在处理个人隐私安全、安全治理的绩效,通过流程分析,在流程的输入、输出、控制过程中,识别、分析、验证隐私保护需求、传递隐私保护价值,减少甚至消除隐私泄露的风险。
3) PIMS认证可以传递信任。客户或合作伙伴,尤其是政府组织、金融机构作为承担隐私风险的机构,通常为要求PII处理者提供相关证据(如PIA分析报告),从而证明PII处理者的产品能符合使用的隐私管理体系要求。合规透明度的提高对于组织战略和业务决策至关重要,同时PIMS认证也有助于向公众传达组织的可信度。
4) 企业业务层面的需要。企业业务竞标或是某些项目合作中ISO 27701可为企业加分,证明企业自身在个人隐私保护领域的水平。
ISO/IEC 27701标准的正式发布,目的在于使组织能够获得针对ISO/IEC 27701的认证,以此作为ISO/IEC 27001管理体系的扩展。在此需要特别注意的是,我们建议计划通过ISO/IEC 27701隐私信息管理体系的企业一并进行ISO/IEC 27001信息安全管理体系,以证实对信息安全和隐私信息管理的承诺。
隐私信息安全的管理正在越来越规范和精细化。掌握隐私信息管理以及个人身份信息保护的实施方法,通过ISO/IEC 27001管理体系的认证以应对数据保护与隐私合规要求已是势在必行。企业需要从自身角度保障数据信息安全以及建立隐私信息的保护机制,确保自身权益得到保障,提高关于隐私信息安全的管理意识,提升对于自身信息数据资产的保护能力。