在数字化浪潮汹涌的当下,个人信息安全问题愈发凸显其重要性。随着互联网技术的飞速发展,我们的隐私信息如同裸露在阳光下的沙滩,稍有不慎就可能被不法分子窃取或滥用。因此,构建一个完善的隐私信息管理体系,成为了保障隐私信息安全的关键所在。
隐私信息管理体系---个人信息安全的保护伞
隐私信息管理体系从个人信息的收集、保存、传输、处置、使用、共享、转让、披露和委托处理等多个方面提高和完善组织的个人信息安全管理能力。
随着《中华人民共和国网络安全法》、《中华人民共和国民法典》、《中华人民共和国个人信息保护法》的出台,个人信息安全有了法律依据,通过隐私信息管理体系认证,可以提高组织的个人信息安全管理能力和合规性,从而提升组织的社会信誉。
隐私信息管理体系的认证依据
隐私信息管理体系的认证依据为ISO/IEC 27701:2019《安全技术-ISO/IEC 27001和ISO/IEC 27002在隐私信息管理方面的扩展-要求与指南》。
隐私信息管理体系(PIMS)是信息安全管理体系(ISMS)的扩展,PIMS可以与ISMS一起进行结合认证,也适用于正在运行信息安全管理体系的组织。
隐私信息管理体系的保护对象
作为隐私信息管理体系标准,ISO/IEC 27701保护的是自然人的隐私信息,又被称为个人可识别信息(Personally Identifiable Information,PII)。指任何可用于与相关自然人建立关联关系的信息,或能够直接或间接地关联到自然人的信息,即以电子或者其他方式记录的,能够单独或者与其他信息结合识别特点自然人身份或者反映特定自然人活动情况的各种信息。具体包括:
识别(即从信息到个人),由信息本身的特殊性,即可识别出特定自然人,例如:每位公民的身份证号、经过实名认证的手机号等;
关联(即从个人到信息),已知的特定自然人在其活动中产生的信息,例如:个人位置信息、个人通话记录、个人浏览记录等。
隐私信息管理体系适用范围
隐私信息管理体系适用于作为PII控制者和/或PII处理者,对个人可识别信息开展收集、保存、传输、处置、使用、共享、转让、披露和委托处理等活动的任何组织。
隐私信息管理体系认证的意义
明确对PII控制者和处理者的隐私信息保护要求,协助组织和对隐私信息风险进行识别、分析;
明确隐私信息保护管理合规目标,减轻组织合规负担的同时降低组织合规风险;
确保组织高级管理层、组织所有者以及关键相关方的利益满足隐私信息保护要求;
向组织客户或合作伙伴传达隐私信息合规价值,从而使组织实现长期、持久的个人隐私信息安全合规;
基于国际标准统一证据框架可以降低合规沟通成本,向公众传达组织的可信度;
依据ISO/IEC 27701标准建立体系,可推动企业的隐私信息管理体系规范运行,为其管控组织、合作方、顾客和员工提供信赖,并为企业在隐私信息合规方面提供保障。
组织申请认证需满足要求
申请隐私信息管理体系的组织需要建立并有效运行的管理体系且满足以下条件:
申请认证需要准备的材料
1)隐私信息管理体系认证申请书;
2)营业执照、相关的资质许可;
3)适用的法律法规清单;
4)隐私信息管理体系文件;
5)组织是PII控制者或PII处理者或既是PII控制者又是PII处理者的自我声明;
6)多场所/在建项目清单(适用时);
注:企业提供的法律地位证明文件需加盖企业印章。
隐私信息管理体系认证范围不能超过信息安全管理体系认证范围。
隐私信息管理体系认证流程
认证证书模板展示:
兴原认证中心陕西分公司
兴原优势
服务内容
编辑:石芸姗
审核:贺兆普
声明:本文所用视频、图片、文字部分来源于互联网,版权属原作者所有。如涉及到版权问题,请告知,核实后协商处理或删除。