ISO/IEC 27701是對ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隱私擴展,全稱《安全技術—擴展ISO/IEC 27001和ISO/IEC 27002的隱私信息管理—要求與指南》。它是ISO標準委員會以ISO 27001為基準,以ISO 27552為藍本,建立發布的隱私信息管理體系標準,為保護個人隱私提供指導。ISO/IEC 27701標準的發布,填補了隱私信息管理體系的空白,將隱私保護的原則、理念和方法,融入到信息安全保護體系中,并且對PII控制者和PII處理者進行了較為詳細且落地性強的規定,給企業在隱私保護和信息安全方面給出了指導建議。
ISO/IEC 27701標準設計的目的在于借助更多的要求增強現有ISO27001信息安全管理體系( ISMS),以建立、實施、維護和持續改進ISO27701隱私信息管理體系 (PIMS)。標準概述了適用于個人身份信息 (PII) 控制者和 PII 處理者的框架, 以有效管理隱私控制,降低個人隱私權面臨的風險。它適用于所有類型和規模的組織,包括公共和私營公司、政府實體以及非盈利組織。
組織應已建立同時滿足ISO/IEC27001標準的信息安全管理體系及ISO/IEC 27701標準的隱私信息管理體系,且體系運行時間需不少于三個月。
實施ISO/IEC 27701個人隱私安全管理體系,至少需要組織業務部門、技術研發部門、客戶服務部門、信息安全部門和法務部門。
正常從項目開始啟動,通過差距分析,輔以培訓,建立隱私信息安全保護體系并推廣實施,經第三方機構認證審核,整個周期在6-8周。
公司營業執照,運營場所租賃或購買合同,現有業務流程文件,和個人隱私安全相關的管理制度,隱私保護風評材料,隱私適用性聲明等。
