个人信息和隐私保护领域有哪些认证
2022-05-19
730
在数字经济时代,数据已成为新的关键生产要素且具有重要的商业价值,与之相伴的数据滥用、隐私泄露以及“大数据杀熟”等数据安全问题也呈现爆发趋势。在此背景下,全球各个国家纷纷颁布相关法律法规,对数据安全与隐私保护相关问题进行严格的规范与引导。面对当前安全合规的新形势,如何提升个人信息保护能力,防范合规风险,是当下企业需要考虑的重点问题。上海擎标将介绍四个在个人信息和隐私保护领域含金量较高的认证,供致力于投身数字产业的企业重点参考。
一、ISO27701隐私信息管理体系认证
ISO/IEC 27701隐私信息管理体系(PIMS)是ISO国际标准化组织和IEC国际电工委员会联合发布的隐私信息管理体系国际标准,是对ISO27001信息安全管理体系的扩展,在全球范围内普遍受到认可,在国际上具备权威性。
ISO/IEC 27701标准填补了隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并且针对PII(个人可识别信息)控制者和PII处理者提出了较为详细且落地性强的规定,在隐私保护方面给予了企业指导建议。ISO/IEC 27701认证适用于所有类型和规模的组织,包括公共和私营公司、政府机构和非盈利组织,通过该认证的组织意味着其隐私信息管理能力满足国际通行准则的要求,对组织开拓国际市场满足海外隐私合规要求具有积极意义。
二、ISO29151个人身份信息保护认证
《ISO/IEC 29151:2017 个人身份实践保护指南》基于ISO/IEC 27002的基本结构,将ISO/IEC 29100中的隐私原则予以对应,形成实用且针对性强的PII保护措施,供组织使用。
ISO/IEC 29151是个人信息保护的行为准则、是个人身份信息保护的实践指南,侧重于隐私技术,规范了个人信息收集、存储、处理、使用和披露等各个环节中数据操作的相关行为,为企业保障个人隐私安全、控制合规风险提供指导。ISO29151认证侧重技术领域,适用于有隐私数据使用处理场景,对隐私保护有需求的组织。
三、GB∕T 39335-2020 《信息安全技术 个人信息安全影响》评估指南
个人信息安全影响评估Personal Information Security Impact Assessment,针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。
开展评估时,通过分析个人信息处理活动对个人信息主体的权益可能造成的影响及其程度,以及分析安全措施是否有效、是否会导致安全事件发生及其可能性,综合两方面结果得出个人信息处理活动的安全风险及风险等级,并提出相应的改进建议,形成评估报告。
四、GB/T 35273-2020《信息安全技术 个人信息安全规范》评估
GB/T 35273-2020《信息安全技术 个人信息安全规范》是基于我国国情制定的个人信息安全保护技术准则,该标准规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动的原则和安全要求。
《个人信息安全规范》在总结国内外企业合规、政府监管实践经验的基础上,体现了对技术发展、商业模式创新下个人信息保护新型问题的关注,提供了有关个人信息处理业务的一揽子安全合规指引。该标准同时作为APP安全认证的标准依据,从认证技术规范的角度提出了具体要求,具有较强的可操作性、可评价性和可核查性,为企业开展数据合规管理,评估个人信息保护水平提供了标准依据。通过GB/T35273-2020《信息安全技术 个人信息安全规范》评估可充分体现组织对遵守我国的隐私管理要求的能力及承诺,适用于在我国境内涉及个人信息控制处理的组织。
以上是针对个人信息和隐私保护领域含金量较高的认证项目介绍,想要了解每个项目的条件情况的企业,可联系在线客服。