扫码微信咨询
-
体系认证
- ISO21434 道路车辆-信息安全工程体系
- ITSS运行维护标准
- ITSS咨询设计标准
- ITSS数据中心标准
- ITSS云计算服务能力标准
- CMMI软件能力成熟度评估
- ISO27701隐私信息管理
- ISO27001信息安全管理
- ISO22301业务连续性管理
- ISO20000信息技术服务管理
- ISO27017云服务信息安全
- ISO27018公有云隐私安全
- ISO27040存储安全管理体系
- ISO9001质量管理
- ISO14001环境管理
- ISO45001职业健康安全管理
- ISO29151个人身份信息保护指南
- ISO38505数据治理安全管理
- 商品售后服务评价体系
- 知识产权管理体系
- ISO27799健康信息安全管理体系
- GB/T35273 个人信息安全规范认证
- 资质认定
- 管理培训
- 解决方案
超详细的ISO27701认证过程介绍
近期有企业咨询ISO27701认证的详细流程,希望能够再面对审核的时候不慌不乱,顺利进行下去,那么今天擎标超级认证侠就给大家介绍一下ISO27701认证的详细过程。
一、材料文件编写完善
1、此处所说的材料文件是指参与审核所需的制度文件,包含隐私信息管理手册、标准适用性声明(SoA)、隐私信息管理策略、隐私保护手册、隐私信息连续性管理规定、隐私信息分类分级管理规定、隐私风险评估管理规定、个人信息泄露事件应急响应管理规定、供应商个人信息保护管理规定、隐私影响评估管理规定等。
2、材料文件的编写完善,是很重要的一项,建议引起重视,并熟悉这些制度文件。
3、这些制度文件的发布时间和正式认证开始的时间要大于三个月,这是认证的规定;如果时间不够,咨询公司会告诉你处置方法,此处不做介绍。二、DPIA
1、DPIA指数据保护影响评估,一般从 数据收集、数据传输、数据处理、数据主体权利、数据访问控制这几个大的角度展开,评估公司目前各系统的实际情况是否符合要求。
2、此处需要交付的是DPIA的评估结果、数据流图,最好也要有DPIA流程触发判定表;需要审核的系统都需要进行DPIA,数据流图如果能展现在一张图里,当然最好,能够很清晰的展示公司数据的流转关系,也能让数据安全的同事更清晰的了解各应用系统。DPIA的价值还是很大的。
3、DPIA耗费的时间是比较长的,当然这也和公司同事的配合情况有关系。
三、不合规项整改
1、对于发现的不合规项,如果能在正式认证开始前整改完成的,就整改;如果整改不完,就针对每一项不合规项列一个整改计划,并进行风险评级。
2、不合规项的整改计划,也是认证方要审核的文件;风险发现能力,也是认证方要审查的项。
四、其它文件
1、个人信息清单
2、资产清单
3、隐私保护政策
4、隐私保护培训记录
5、供应商签署的数据处理协议
6、个人信息泄露事件应急响应演练
7、PII主体行权响应记录(如果有的话)
8、公司收集参考的法律法规清单(包含海外)
9、体系内审报告
10、体系持续改进跟踪表
11、体系内审计划
12、体系管理评审报告
13、有效性测量记录
五、认证方审阅材料文件
1、在正式开始现场审核之前,认证方一般会先远程查看隐私信息管理手册、标准适用性声明这两个文件,然后针对一些疑问点,以及一些问题和隐私合规人员进行沟通;线上审核、查看制度文件。
2、此次审核称为初审,也是比较正式的,有开始会议、结束会议,在结束会议上,审核老师会列出初步审核出来的不符合项和待确认项。
3、审核老师会要一份公司的系统清单和职能部门清单,会根据初审的结果和清单,安排接下来的现场审核内容。
4、审核老师在初审列出来的待确认项尽快确认,这些待确认项,基本都会在现场审核问到。
六、认证培训1、现场审核计划表出来后,尽快联系各应用系统的同事和职能部门的人员,协调时间,具体的访谈审核安排是可以调整的。
2、如果要审核的应用系统或职能部门较多,认证方的审核老师第一年不会全部安排要参与审核。
3、召集要参与现场审核的同事,进行一个培训,介绍审核过程的注意事项,包括态度积极、不与审核老师起冲突以及一些应对技巧等等。七、现场认证
1、现场认证,一般有2到3个审核老师,有可能是1到2个老师在线上进行审核(疫情或其它原因)。
2、首先还是开始会议,大概半个小时的时间;前两天一般是现场的老师进行文件审核和安全负责人访谈,后面也会进行应用系统审核;线上的老师进行应用系统的审核。
3、文件审核,审核老师会一个一个查看文件,文件的重点内容,老师会一条一条看,有疑问的地方,会随时问对接的人员。老师会让对接人员一个一个打开文件,翻到老师审核的内容,所以对接人员需要对文件比较熟悉才行。老师针对文件提出的不符合点,在现场认证的那几天尽量改。
4、对于应用系统的审核,主要是通过访谈的形式,但访谈的过程中,老师会对系统进行查看,核验是不是按照要求做了隐私保护措施。
5、对于职能部门,比如法务、HR、PR、GR等,主要也是通过访谈的形式审核,但审核过程中会查看一些职能部门的文件记录或应用系统。
6、如果公司的办公地点是租赁的,老师可能会查看租赁合同(能显示租赁关系的那一页就行)。7、审核老师会在审核过程中列出一些不符合项,并在结束会议的时候正式告知。当然,一般在最后一两天,现场审核的老师就会口头告知有没有不符合项。不符合项包含:严重不符合、轻微不符合、观察项。有不符合项并不意味着认证不通过,还有个整改的步骤。
八、不符合项整改
1、有严重不符合或轻微不符合项,是要进行整改的,并将整改结果在一个月内通过邮件发给审核老师。这个整改并不是指一定要整改完成,也可以是列出整改计划,当然下一年的审核,老师会审核这些整改项。
2、整改结果的反馈,有标准的填写规范,审核老师一般会把填写的表格发出来,如果没发,可以要一下。
3、观察项也建议整改,并反馈,虽然审核老师没有强制要求反馈整改结果。
九、颁发认证证书
一般从现场审核完成到反馈整改结果,再到拿到证书,需要花费一个多月的时间。
十、第二、三年审核
1、第二、三年审核一般也是现场审核,审核的内容没有第一年的多,但现场审核的过程基本一样。
2、如果审核老师不是第一年参与审核的老师,可能审核的内容就会多一点。
以上是超详细的ISO27701认证过程介绍,有需要了解ISO27701认证费用的企业,请联系在线客服或拨打400-182-7001热线,我们将竭诚为您服务。