購(gòu)物車(
0
)
我們最快2小時(shí)內(nèi)聯(lián)系您
*自動(dòng)注冊(cè)會(huì)員,在線查看咨詢進(jìn)度
發(fā)送成功
您的咨詢信息已收到,我們將盡快與您聯(lián)系!
用戶賬號(hào):{{ form.phone || form.email }}
已為您注冊(cè)SGS在線商城會(huì)員
可使用賬號(hào)快捷登陸
到“我的咨詢”查看咨詢進(jìn)度
{{countdownTime}}秒后自動(dòng)跳轉(zhuǎn)
掃碼關(guān)注SGS官方微信公眾號(hào), 回復(fù)“0”贏驚喜禮品!
| ISO/IEC27701隱私信息管理體系標(biāo)準(zhǔn) |
| 作為隱私保護(hù)和個(gè)人信息管理的ISO國(guó)際標(biāo)準(zhǔn) |
隨著信息技術(shù)的不斷發(fā)展,人們對(duì)信息安全的關(guān)注日益提升,全球多個(gè)國(guó)家和地區(qū)相繼出臺(tái)了一系列隱私保護(hù)的法律法規(guī),例如歐盟的GDPR,中國(guó)的網(wǎng)絡(luò)安全法,以及香港的個(gè)人隱私條例等,當(dāng)前幾乎所有的組織都有處理個(gè)人信息 (PII) 的情況。
面對(duì)愈加嚴(yán)格的監(jiān)管趨勢(shì)和眾多且復(fù)雜的法律法規(guī), 企業(yè)如何有效的管理和保護(hù)用戶個(gè)人信息及隱私?
個(gè)人隱私安全管理體系國(guó)際標(biāo)準(zhǔn)。
ISO/IEC27001作為國(guó)際上公認(rèn)的信息安全管理體系標(biāo)準(zhǔn),在隱私保護(hù)方面提供了部分所需的信息安全控制措施,但如何從PII控制者和PII處理者二者不同的角度來實(shí)現(xiàn)和滿足不同國(guó)家和地區(qū)的隱私保護(hù)法律法規(guī)的要求,并沒有提供足夠的操作指引。
因此,新標(biāo)準(zhǔn)ISO/IEC27701隱私信息管理體系應(yīng)勢(shì)而生。助力企業(yè)為GDPR合規(guī)展現(xiàn)、保護(hù)用戶隱私和個(gè)人信息合規(guī)管理提供了更多相關(guān)要求和指南。
ISO/IEC 27701是一項(xiàng)國(guó)際標(biāo)準(zhǔn),規(guī)定了建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)隱私信息管理體系(PIMS)的要求。它還為支持組織將這些要求付諸實(shí)踐提供了指導(dǎo)。該標(biāo)準(zhǔn)專為處理PII負(fù)有責(zé)任的個(gè)人身份信息(PII)控制者和處理者而制定。
2019年8月6日,國(guó)際標(biāo)準(zhǔn)化組織ISO和國(guó)際電工委員會(huì)IEC正式對(duì)外發(fā)布ISO/IEC27701隱私信息管理體系標(biāo)準(zhǔn)。這標(biāo)志著信息安全、隱私與個(gè)人信息保護(hù),在國(guó)際間法律與法規(guī)的合規(guī)展現(xiàn)有了一致性的標(biāo)準(zhǔn)。
2025年10月14日,國(guó)際標(biāo)準(zhǔn)化組織ISO和國(guó)際電工委員會(huì)IEC發(fā)布了第二版隱私信息管理體系標(biāo)準(zhǔn),既ISO/IEC 27701:2025。
ISO/IEC27701作為ISO/IEC27001與ISO/IEC27002在管理上的延伸標(biāo)準(zhǔn),其目標(biāo)是通過新增的要求來增強(qiáng)現(xiàn)有信息安全管理體(ISMS),以便建立、實(shí)施、維護(hù)和不斷改進(jìn)隱私信息管理體系(PIMS),標(biāo)準(zhǔn)概述了適用于個(gè)人身份信息(PII)控制者和PII處理者的框架,用于隱私控制管理,以降低對(duì)個(gè)人隱私的各種風(fēng)險(xiǎn)。
(PS: 歐盟GDPR主責(zé)機(jī)構(gòu),前身為Article 29 Working Party的European Data Protection Board (EDPB),于ISO/IEC27701的發(fā)展過程中積極參與,并提供歐盟個(gè)人信息保護(hù)的相關(guān)建議,如ISO/IEC27701與GDPR的條文對(duì)應(yīng)。包含SC27眾會(huì)員國(guó)與EDPB,JTC1/SC27在各方達(dá)成合意后,公告了ISO/IEC27701,這也是為什么國(guó)際間認(rèn)為ISO/IEC27701目前為GDPR合規(guī)展現(xiàn)的優(yōu)秀方案之一。)
ISO/IEC 27701:2025標(biāo)準(zhǔn)包括了正文和附錄部分,正文采取了ISO標(biāo)準(zhǔn)的高階架構(gòu),其中:
第1至第3章:主要是適用范圍、參考標(biāo)準(zhǔn)和名詞定義的說明,ISO/IEC27701適用于任何類型的組織,包括政府、事業(yè)單位、金融、教育機(jī)構(gòu)、企業(yè)及非營(yíng)利組織。
第4章 組織環(huán)境:包括確定組織與隱私管理相關(guān)的內(nèi)外部問題、相關(guān)方的需求和期望、管理體系范圍等。
第5章 領(lǐng)導(dǎo)作用:包括最高管理者在隱私管理方面的支持與承諾、隱私方針、隱私管理相關(guān)的角色、職責(zé)與權(quán)限等。
第6章 策劃:包括應(yīng)對(duì)組織方面的風(fēng)險(xiǎn)和機(jī)遇以及應(yīng)對(duì)措施,隱私風(fēng)險(xiǎn)評(píng)估和處置,建立適用性聲明,隱私管理的目標(biāo)以及管理體系變更的策劃等。
第7章:包括資源、能力、意識(shí)、溝通和文件化信息的要求等。
第8章:包括體系運(yùn)行策劃與控制、實(shí)施隱私風(fēng)險(xiǎn)評(píng)估與處置等。
第9章:包括監(jiān)視測(cè)量分析和評(píng)價(jià),組織內(nèi)部審核、管理評(píng)審等。
第10章:包括持續(xù)改進(jìn),不符合項(xiàng)和糾正措施等。
附錄A-F:
附錄 A | (規(guī)范性)個(gè)人信息控制者與處理者的隱私信息管理體系(PIMS)參考控制目標(biāo)與控制措施,其中: A.1 控制者要求 A.2 處理者要求 A.3 控制者和處理者通用要求 |
附錄 B | (規(guī)范性)個(gè)人信息控制者與處理者的實(shí)施指南 |
附錄 C | (資料性)與 ISO/IEC 29100 的對(duì)照關(guān)系 |
附錄 D | (資料性)與《通用數(shù)據(jù)保護(hù)條例》的對(duì)照關(guān)系 |
附錄 E | (資料性)與 ISO/IEC 27018 和 ISO/IEC 29151 的對(duì)照關(guān)系 |
附錄 F | (資料性)與 ISO/IEC 27701:2019 的對(duì)照關(guān)系 |
1. 可以使用一個(gè)體系來管理來自不同國(guó)家和地區(qū)的多項(xiàng)隱私法規(guī)和政策的合規(guī)性;
2. 有助于組織向組織的最高管理層、合作伙伴、監(jiān)管機(jī)構(gòu)及其他相關(guān)方提供組織有關(guān)隱私法規(guī)工作的盡職管理證據(jù);
3. 隱私信息管理體系認(rèn)證能向客戶和合作伙伴傳遞信任。
ISO/IEC27701隱私信息管理體系標(biāo)準(zhǔn)作為隱私保護(hù)和個(gè)人信息管理的ISO國(guó)際標(biāo)準(zhǔn)。不僅帶來新增的特定隱私要求,以便有效整合現(xiàn)行ISO/IEC27001信息安全管理體系,未來更是針對(duì)隱私保護(hù)之特定領(lǐng)域 (PIMS-Specific),以 ISO/IEC27001延伸認(rèn)證的方式實(shí)施,信息安全管理將與隱私信息管理進(jìn)行密切整合。
CNLPQP_PIMS_01 隱私信息管理體系認(rèn)證規(guī)則 版本3
發(fā)布單位 | 發(fā)布日期 | 規(guī)則來源 |
通標(biāo)標(biāo)準(zhǔn)技術(shù)服務(wù)有限公司 | 20251224 | 自行制定 |
ISO/IEC 27701 隱私信息管理體系認(rèn)證。本規(guī)則適用于任何處理PII的組織申請(qǐng)ISO/IEC 27701 隱私信息管理體系認(rèn)證。
ISO/IEC 27701:2025 信息安全,網(wǎng)絡(luò)安全和隱私保護(hù)-隱私信息管理體系-要求和指南
發(fā)布單位 | 發(fā)布日期 | 實(shí)施日期 |
國(guó)際標(biāo)準(zhǔn)化組織ISO/國(guó)際電工委員會(huì)IEC | 20251014 | 20251014 |
步驟1 – SGS根據(jù)組織的規(guī)模及業(yè)務(wù)類型提供定制化的建議,在您簽署建議書后,審核即可開始。
步驟2 – SGS提供可選擇的針對(duì)準(zhǔn)備情況與薄弱環(huán)節(jié)的“預(yù)審”服務(wù)。
步驟3 – 正式審核。第一階段——準(zhǔn)備情況評(píng)估:對(duì)組織建立的文件化體系及其他重要體系進(jìn)行評(píng)估,提出不符合項(xiàng)。
步驟4 – 第二階段:包括與工作人員面談、文件記錄的檢查以及對(duì)工作實(shí)踐的現(xiàn)場(chǎng)考察,提出審核發(fā)現(xiàn)。審核合格后會(huì)簽發(fā)證書。
步驟5 – 根據(jù)合同,每半年或一年對(duì)體系和整改計(jì)劃的實(shí)施進(jìn)行監(jiān)督審核。
步驟6 – 證書簽發(fā)滿3年期后,實(shí)施再認(rèn)證審核。
如需獲得認(rèn)證規(guī)則全文,請(qǐng)聯(lián)系:010-58352655 BA.China@sgs.com
查看SGS實(shí)施守則、認(rèn)證標(biāo)志使用管理規(guī)則等通用條款與條件,請(qǐng)點(diǎn)擊條款與條件
![]() | ![]() |
作為國(guó)際公認(rèn)的檢驗(yàn)、鑒定、測(cè)試和認(rèn)證機(jī)構(gòu),SGS在IT信息安全領(lǐng)域解決方案范圍廣泛,致力于為各行業(yè)機(jī)構(gòu)提供全方位管理提升服務(wù),包括:ISO/IEC27701、ISO/IEC29151、ISO/IEC27001、ISO/IEC20000、 CSA STAR、ISO/IEC27017、ISO/IEC27018、ISO22301、GDPR等培訓(xùn)、認(rèn)證和審核相關(guān)服務(wù)。
填寫信息免費(fèi)下載
填寫信息免費(fèi)下載
官方公眾號(hào)
官方小程序