【体系认证】ISO27701 隐私信息管理体系

1

认证定义

ISO/IEC 27701 隐私信息管理体系是ISO国际标准化组织和IEC国际电工委员会联合发布的隐私信息管理体系国际标准,它是对SO27001信息安全管理体系的扩展,在全球普遍受到认可,且具国际权威性。

ISO/IEC27701通过对隐私保护的控制对ISO/IEC27001进行补充,有效协助组织对隐私风险进行识别、分析、采取措施,确保符合高级别的隐私保护合规要求,将风险降到可接受水平并维持该水平,最终帮助组织建立完善的隐私信息管理体系,实现有效的隐私管理。
2

认证适用范围

ISO/IEC27701认证适用于各个行业类别,涉及信息领域服务的任何大型或小型组织都可以申请认证。

3

认证规定

1、收集和处理鉴别解决目地和处理的法律规定;确立获得允许的形式、时长,并留存相对应记录;开展个人隐私危害评定。

2、广告推广在没有事前征求个人信息行为主体允许前提下,不容易将个人信息用以广告推广。

3、解决责任明确并记录对个人信息行为主体所履行的法律义务和商业伦理责任,同时提供执行这种义务的方式;大力支持客户的修改权、撤销同意权、回绝权、删掉权、浏览权等个人信息支配权并留存相对应记录。

4、默认个人隐私保护保证流程及系统软件设计可以使个人信息的收集正确处理(包含应用、公布、储存、传送和删掉)仅限最少必需范畴,并留存有关记录。

5、共享迁移鉴别存不存在共享、迁移、公布、跨境电商传送个人信息的情况,并记录实际个人行为。

6、合同规定签订的书面协议应承诺个人信息维护的有关对策,比如操作权限操纵、个人信息泄漏汇报等。

7、员工技能培训可浏览个人信息的职工应签订保密协议书,并参加个人隐私保护与网络信息安全学习培训。

8、总体规划鉴别利益相关方的需要及希望,进一步明确体系管理的范畴;明确的内部工作人员义务及相关的目标与规划;确立实际的运转规划和控制方法,评定并处理风险性;内部结构按时审查并继续完善管理体系。

4

认证要求

1、按照ISO27701管理体系标准要求建立体系框架

2、体系建立后,需要运行一段时间,至少3个月,产生3个月的运行记录:

3、向认证机构递交审核申请,

4、认证机构评估费用和正式审核时间:

5、认证机构将进行预审,在正式审核前排除一些重大损失,同时让客户熟悉审核的方法进行评估,审查方针,范围和采用的程序。检查体系中遗漏和繁琐需要修改的地方:

6、认证机构进行实施审核;

7、如果顺利完成审核,在确定清楚认证范围后,发放证书。
5

认证优势

1、驱使他人对您企业的信任感——让您的客户和利益相关者对其个人数据和信息的安全性更加放心。

2、提供竞争优势——借由为个人信息提供最高程度的保护,让您从竞争对手之中脱颖而出。

3、保护品牌声誉——降低因数据泄露引发的负面宣传风险。

4、降低风险——确保风险被识别,且控制措施到位以管理或降低风险。

5、防止罚款——确保遵守当地法规,降低对数据泄露的罚款风险。

6、助力企业发展——提供覆盖不同国家的通用指导方针,为在全球范围内开展业务和获得作为首选供应商的机会提供便利性。

图片

6

认证流程

企业在申请认证时,需准备好以下材料:

1、公司执照及相关资质(需要时)
2、依据ISO27701标准建立的体系文件(一级和二级文件,至少包含SOA文件和程序文件)
3、体系建立后至少运行3个月以上
4、至少进行一次内部审核、一次管理评审
5、包含PIMS要求的隐私信息安全风险评估资料(至少有风险评估计划、风险处置计划和残余风险报告)
6、适用PIMS要求的法律法规清单
7、运营场所物理平面图及网络拓扑图
8、PII识别处理PII信息流涉及的信息系统、存储介质等清单
9、PII影响评估报告。

具体认证流程如下:
在这里插入图片描述

ISO27701是什么?

较为官方介绍:ISO/IEC 27701是对ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隐私扩展。是一项国际管理系统标准体系,为保护个人隐私提供指导,包括组织应如何管理个人信息,并协助证明遵守了世界各地的隐私法规。

ISO27701的结构:正文+附录。

正文:ISO27001、ISO27002中关于PII保护的扩展及附加要求及指南

附录A中列出了作为PII控制者的组织的PIMS特定目标和控制措施。

附录B中列出了作为PII处理者的组织的PIMS特定目标和控制措施。

附录C给出了标准与ISO29100的映射。

附录D是与GDPR的映射。

附录E是与ISO27018和ISO29151的映射。

附录F则是如何在处理PII时应用ISO27001和ISO27002要求。

为什么选择ISO27701认证?

首先,其适用于所有规模和类型的企业,能够系统的指导企业建立起隐私管理体系,符合其作为数据控制者或处理者处理隐私信息的合规要求;其次,通过此认证可以展现出对隐私保护的可信度与承诺,利于用户的选择与支持;最后,ISO27701与国内海外陆续出台的隐私标准相辅相成,提供了与BS10012,ISO27018、ISO29100这些标准的条款对应关系以及如何应用的说明。且ISO27701是最新发布,目前来看也是比较权威的隐私保护标准,已成为各企业的首选。

其他隐私标准的简单介绍:

BS10012 :第一个隐私管理国际标准,是GDPR的一个落地指导。

ISO/IEC 29100:隐私框架

ISO/IEC 29151:是隐私保护的实践指南,未深入研究,查阅资料有反馈较于ISO27701侧重隐私管理,其侧重于隐私技术。

ISO/IEC 27018 :又称"云隐保护认证",针对保护云中个人数据安全的行为准则。

2.隐私影响评估

先看一下风险评估,ISO27001 要求风险评估,则ISO27701也是在开展了信息安全风险评估的基础上开展隐私影响评估。风险评估是风险管理的一个重要过程。风险管理国际标准ISO 31000定义风险评估的过程包括:风险识别、风险分析及风险评价。可以查阅《信息技术安全技术信息安全风险管理》查看基于信息资产的风险评估方法,也可以参考本公众号《信息安全管理体系建设思路》中介绍过的其他信息安全风险评估的方法,有兴趣可查看。

再看隐私影响评估,隐私影响评估较ISO27001提到的信息安全风险评估已不单单是识别导致PII CIA丧失的相关安全风险,还包括处理PII处理过程中存在的合规风险( PII主体合法权益是否遭到损害的各种风险)。

隐私影响评估与信息安全风险评估可以同时开展或分别进行。

可参考的标准:《信息安全技术个人信息安全影响评估指南》、《信息技术安全技术隐私影响评估指南》

可以使用工具进行辅助,据小伙伴分享,目前已经有部分厂商提供相应检测产品以及服务,有需要的可以采购起来;产品原型可能是基于:《信息安全技术个人信息安全规范》、《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南 》、《移动互联网应用程序(App)系统权限申请使用指南》、《App违法违规收集使用个人信息行为认定方法》等标准

我司也已经开源了一版DPIA系统,基于GDPR要求,识别隐私风险的过程工具,势在把技术、流程、人有效整合,详见本公众号《猎豹移动DPIA系统开源》,目前结合ISO27701要求,第二版本在研发优化中,敬请等待。

最后介绍下我司此次隐私影响评估的具体做法,因工具在开发中,主要靠表格工具实施,分别开展了隐私政策评估与PII处理生命周期过程的合规评估。其中PII处理生命周期过程的合规评估以应用的功能为维度,梳理识别各应用中各功能(包括不限于基本功能、附加功能)分别收集的PII信息以及获取权限的合规与安全情况,包括收集信息是否公开透明,目的是否合理明确、收集是否经过授权同意、最少够用等,存储、使用、传输是否具有相应安全措施,是否符合相应地区的法律要求及合同要求等等。

3.建立组织

这里特别想强调一下体系融合,因为不管信息安全管理体系、隐私管理体系、应急管理体系等都要求建立一个相应组织与责任人,随着企业安全建设发展,大部分企业都已建立起相应的体系,构建起相应的组织,所以,开展新的体系时将新职责对应的岗位角色进行相应补充、调整融合即可,这样可以减少组织建设过于复杂以及有利于日常实际作用,具体组织架构也可参考本公众号《信息安全管理体系建设思路》。

4.PII分级

PII分级是落实,调整安全控制措施的重要前提与依据 。根据PII级别分别实施差异化防护策略,落实不同强度的管理及技术措施,实现资源配置效益最大化,管理张弛有度,防止缺少足够重视或过于保护造成的损失或浪费。

企业分类分级一般都会参考GDPR和《信息安全技术个人信息安全规范》,但,值得注意的是,有些特殊类型的个人数据一定是敏感数据,例如个人基因,生物特征等数据,但有些个人数据需根据具体场景来判断。例如个人上网记录中的“收藏列表”,如果教条的查看35273的附录A和B,很有可能直接判定为非个人敏感信息,但值得注意的是具体场景下分析,如果其反映或可以直接被利用分析出个人主体的隐私,那他的敏感性就值得再商榷了。另外不同PII信息的组合,敏感程度不同,企业可根据具体需要分为多个等级进行管理。

PII分级结果也是隐私影响评估的重要输入,所以在隐私影响评估的业务信息及数据流梳理时就要进行分析并标识。

5.制度建立

根据隐私影响评估以及PII分级情况,依据ISO27701 的标准要求,建立隐私制度管理体系,在已建立的信息安全管理体系中补充完善隐私保护相关内容,如用户主体权利响应的流程要求、个人信息对外提供管理要求,以及应用研发应遵守的隐私保护默认设计要求等。需要注意的是作为PII控制者和PII处理者需要建立的制度要求不同,应根据企业的角色分别进行补充。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/47768.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

解决nginx和gateway网关跨域问题Access to XMLHttpRequest

一、为什么会出现跨域问题? 1、什么是跨域 跨域(Cross-Origin Resource Sharing,简称 CORS) 主要是浏览器的同源策略导致的。 同源策略要求浏览器发出的 AJAX 请求只能发给与请求页面域名相同的 API 服务器,如果发给其他域名就会产生跨域问题。 2、什么是同源策略&…

安全杂记 - js中的this关键字

javascript里什么是this this是js中的一个关键字&#xff0c;它是函数在运行时生成的一个内部对象&#xff0c;是属性和方法。 this就是属性或方法“当前”所在的对象&#xff0c;也就是调用函数的那个对象 this的使用场合 1.函数调用 <script>var a100;function test…

文件上传漏洞 -- uploadlabs为例

文件上传漏洞原理 一些web应用程序中允许上传图片、视频、头像和许多其他类型的文件到服务器中。 文件上传漏洞就是利用服务端代码对文件上传路径变量过滤不严格将可执行的文件上传到一个到服务器中 &#xff0c;再通过URL去访问以执行恶意代码。 非法用户可以利用上传的恶意脚…

机器学习深度学习——感知机

&#x1f468;‍&#x1f393;作者简介&#xff1a;一位即将上大四&#xff0c;正专攻机器学习的保研er &#x1f30c;上期文章&#xff1a;机器学习&&深度学习——softmax回归的简洁实现 &#x1f4da;订阅专栏&#xff1a;机器学习&&深度学习 希望文章对你们…

前端面试题 —— React (二)

目录 一、React 组件中怎么做事件代理&#xff1f;它的原理是什么&#xff1f; 二、React.Component 和 React.PureComponent 的区别 三、Component, Element, Instance 之间有什么区别和联系&#xff1f; 四、React声明组件有哪几种方法&#xff0c;有什么不同&#xff1f…

OpenAI宣布安卓版ChatGPT正式上线;一站式 LLM底层技术原理入门指南

&#x1f989; AI新闻 &#x1f680; OpenAI宣布安卓版ChatGPT正式上线 摘要&#xff1a;OpenAI今日宣布&#xff0c;安卓版ChatGPT已正式上线&#xff0c;目前美国、印度、孟加拉国和巴西四国的安卓用户已可在谷歌Play商店下载&#xff0c;并计划在下周拓展到更多地区。Chat…

【每日运维】RockyLinux8非容器化安装Mysql、Redis、RabitMQ单机环境

系统版本&#xff1a;RockyLinux 8.6 安装方式&#xff1a;非容器化单机部署 安装版本&#xff1a;mysql 8.0.32 redis 6.2.11 rabbitmq 3.11.11 elasticsearch 6.7.1 前置条件&#xff1a;时间同步、关闭selinux、主机名、主机解析host 环境说明&#xff1a;PC电脑VMware Work…

【LeetCode】98.验证二叉搜索树

题目 给你一个二叉树的根节点 root &#xff0c;判断其是否是一个有效的二叉搜索树。 有效 二叉搜索树定义如下&#xff1a; 节点的左子树只包含 小于 当前节点的数。节点的右子树只包含 大于 当前节点的数。所有左子树和右子树自身必须也是二叉搜索树。 示例 1&#xff1a…

OpenTelemetry框架

文章目录 1、分布式监控系统2、OpenTelemetry3、OpenTelemetry-Trace相关组件4、Context Propagation搭配HTTP Header传递信息5、Span相关 1、分布式监控系统 随着单体架构演变为微服务架构&#xff0c;线上问题的追踪和排查变的越来越困难&#xff0c;想解决这个问题就得实现…

【初阶C语言】认识和使用函数

1. 函数是什么 2. 库函数 3. 自定义函数 4. 函数参数 5. 函数调用 6. 函数的嵌套调用和链式访问 7. 函数的声明和定义 8. 函数递归 一、什么是函数 在数学中有函数&#xff0c;在C语言中也有函数&#xff0c;我们直接先给出一个定义&#xff1a; 在基维百科中函数被定义为子程…

【Datawhale夏令营】任务二学习笔记

目录 一&#xff1a;python语法回顾 1.1 print() 1.2 列表与字典 1.3自定义函数与return 1.4火车类&#xff08;面向对象&#xff09; 实例化总结&#xff1a; 二&#xff1a;LightGBM 代码精读 2.1导入库 2.2数据准备与参数设置 2.3时间特征函数 2.4优化 2.5训练与…

Microsoft todo 数据导出

文章目录 官方说明&#xff1a; https://support.microsoft.com/zh-cn/office/导出您的-microsoft-待办事项帐户-d286b243-affb-4db4-addc-162e16588943 由于 微软待办 会自动与 Outlook 中的任务同步&#xff0c;因此您可以从 Outlook 中导出所有列表和任务。 若要导出列表和…

类加载机制,类加载顺序

类加载顺序 ①类加载从上往下执行&#xff0c;依次执行静态的初始化语句和初始化块&#xff0c;而且类加载优先于对象创建。&#xff08;静态初始化语句和初始化块只加载一次&#xff09; ②创建本类的对象时&#xff0c;从上往下执行一次非静态的初始化语句和初始化块&#…

企业服务器数据库被360后缀勒索病毒攻击后采取的措施

近期&#xff0c;360后缀勒索病毒的攻击事件频发&#xff0c;造成很多企业的服务器数据库遭受严重损失。360后缀勒索病毒是Beijingcrypt勒索家族中的一种病毒&#xff0c;该病毒的加密形式较为复杂&#xff0c;目前网络上没有解密工具&#xff0c;只有通过专业的技术人员对其进…

LinuxC语言-网络通信tcp/ip errno获取错误描述字符串

目录 服务端代码&#xff1a; 获取errno错误码&#xff1a; 客户端代码&#xff1a; 运行结果: 服务端代码&#xff1a; #include <stdio.h> #include<sys/types.h> #include<sys/socket.h> #include<string.h> #include<netinet/in.h> #in…

2022.09.17【读书笔记】丨生物信息学与功能基因组学(第十三章 蛋白质结构预测 下)

目录 蛋白质结构预测三种方法同源建模(比较建模)穿线法从头预测&#xff08;ab initio&#xff09;基于假设推荐策略 精度与方法选择Alphafold2相关信息 蛋白质结构预测 三种方法 同源建模(比较建模) 建模4步骤 1.模板选择和确定折叠构象 通过blast或delta-blast搜索同源蛋白…

【spring】spring bean的生命周期

spring bean的生命周期 文章目录 spring bean的生命周期简介一、bean的创建阶段二、bean的初始化阶段三、bean的销毁阶段四、spring bean的生命周期总述 简介 本文测试并且介绍了spring中bean的生命周期&#xff0c;如果只想知道结果可以跳到最后一部分直接查看。 一、bean的…

centos7搭建k8s环境并部署springboot项目

之前看了很多文章&#xff0c;都是部署后一直报错&#xff0c;百度解决后下次又忘了&#xff0c;这次决定把从头到尾的过程记录下来方便下次再看&#xff0c;部署参考文章尚硅谷Kubernetes&#xff08;k8s&#xff09;视频学习笔记_尚硅谷k8s笔记_溯光旅者的博客-CSDN博客 1、…

ELK报错no handler found for uri and method [PUT] 原因

执行后提示no handler found for uri and method post&#xff0c;最新版8.2的问题&#xff1f; 原因&#xff1a; index.mapping.single_type: true在索引上 设置将启用按索引的单一类型行为&#xff0c;该行为将在6.0后强制执行。 原 {type} 要改为 _doc&#xff0c;格式如…

MySQL运维:从全备sql文件中提取指定表的数据并恢复

目录 一、运行环境 二、需求说明 三、思路分析 五、具体方案 六、恢复表数据 一、运行环境 系统&#xff1a;CentOS7.3 数据库&#xff1a;MySQL 8.0.21 二、需求说明 线上有个表的数据被误操作了很多&#xff0c;无法通过bin-log进行具体的恢复。所以当前我们需要从全…