ISO27701標(biāo)準(zhǔn)設(shè)計的目的在于借助更多的要求增強(qiáng)現(xiàn)有ISMS,以建立、實施、維護(hù)和持續(xù)改進(jìn)隱私信息管理體系(PIMS)。標(biāo)準(zhǔn)概述了適用于個人身份信息(PII)控制者和PII處理者的框架,以有效管理隱私控制,降低個人隱私權(quán)面臨的風(fēng)險。
它適用于所有類型和規(guī)模的組織,涉及信息領(lǐng)域服務(wù)的任何大型或小型組織都可以申請認(rèn)證,包括公共和私營公司、政府實體以及非盈利組織。
ISO/IEC 27701認(rèn)證需要準(zhǔn)備的資料
1.公司執(zhí)照及相關(guān)資質(zhì)(需要時)
2.依據(jù)ISO27701標(biāo)準(zhǔn)建立的體系文件(一級和二級文件,至少包含SOA文件和程序文件)
3.體系建立后至少運行3個月以上
4.至少進(jìn)行一次內(nèi)部審核、一次管理評審
5.包含PIMS要求的隱私信息安全風(fēng)險評估資料(至少有風(fēng)險評估計劃、風(fēng)險處置計劃和殘余風(fēng)險報告)
6.適用PIMS要求的法律法規(guī)清單
7.運營場所物理平面圖及網(wǎng)絡(luò)拓?fù)鋱D
8.PII識別處理PII信息流涉及的信息系統(tǒng)、存儲介質(zhì)等清單
9.PII影響評估報告。
ISO27701通過對隱私保護(hù)的控制對ISO27001進(jìn)行補(bǔ)充,有效協(xié)助組織對隱私風(fēng)險進(jìn)行識別、分析、采取措施,確保符合高級別的隱私保護(hù)合規(guī)要求,將風(fēng)險降到可接受水平并維持該水平,最終幫助組織建立完善的隱私信息管理體系,實現(xiàn)有效的隱私管理。
