扫码微信咨询
-
体系认证
- ISO21434 道路车辆-信息安全工程体系
- ITSS运行维护标准
- ITSS咨询设计标准
- ITSS数据中心标准
- ITSS云计算服务能力标准
- CMMI软件能力成熟度评估
- ISO27701隐私信息管理
- ISO27001信息安全管理
- ISO22301业务连续性管理
- ISO20000信息技术服务管理
- ISO27017云服务信息安全
- ISO27018公有云隐私安全
- ISO27040存储安全管理体系
- ISO9001质量管理
- ISO14001环境管理
- ISO45001职业健康安全管理
- ISO29151个人身份信息保护指南
- ISO38505数据治理安全管理
- 商品售后服务评价体系
- 知识产权管理体系
- ISO27799健康信息安全管理体系
- GB/T35273 个人信息安全规范认证
- 资质认定
- 管理培训
- 解决方案
ISO27701认证是什么?对控制者和处理者有什么要求?
2020-02-08
2847
ISO27701是由国际标准化组织ISO和国际电工委员会IEC联合发布了全新个人信息管理体系(PIMS)国际标准。该标准是在隐私保护方面对 ISO/IEC 27001 和ISO/IEC 27002 的扩展,针对保护可能受到个人信息收集和处理影响的隐私提供了更多相关指南。
保密性:经授权访问 PII 的个人必须履行保密协议。
分析风险:必须进行隐私风险评估以识别 PII 处理风险。
监管:组织机构必须指定负责开发、实现、维护和监视其治理及隐私项目的个人。
培训:可以访问 PII 的人员需经过隐私意识培训。
内部过程:组织机构必须为应对 PII 泄露事件而采纳各种策略和规程,比如事件响应计划。
记录保存:ISO 27701 要求组织机构保留所有 PII 处理活动的记录,包括 PII 在司法辖区间转移和向第三方披露等。
隐私通告:组织机构必须提供包含 PII 收集、使用和处理相关具体信息的隐私政策。
处理者合同要求:组织机构必须与其处理者签订书面合同,约定具体事项,比如保护 PII、限制处理操作仅可在 PII 特定用途范围内,以及提供 PII 泄露通报。
个人权益:ISO 27701 要求组织机构实现各种机制,赋予个人访问、修改和删除其 PII,以及反对或限制 PII 处理等权益。
设计隐私与默认隐私:组织机构必须采取措施实现设计隐私和默认隐私原则。
处理限制:组织机构必须仅按控制者或处理者(取决于客户的角色)的说明处理 PII。
辅助个人权益:ISO 27701 要求处理者实现帮助客户遵从个人权益的种种措施。
转移与披露:处理者必须于 PII 在司法辖区间转移或任何预期变化发生前通告客户。
分包商:ISO 27701 要求处理者仅可雇佣一家分包商按照客户合同的条款处理 PII。