隱私信息管理體系認證

一、業(yè)務(wù)背景

各種業(yè)務(wù)服務(wù)的數字化、全球化以及個(gè)性化導致個(gè)人信息比以往更多地被收集和處理。隨著(zhù)新的服務(wù)機會(huì )涌現以及新市場(chǎng)參與者的出現，這一趨勢在持續不斷的增長(cháng)。

如今，多種多樣的平臺已成為人們日常生活不可或缺的一部分，個(gè)人信息在這些平臺中也被廣泛的收集。例如，移動(dòng)應用、會(huì )員計劃、設備互聯(lián)位置廣告。這意味著(zhù)我們經(jīng)常在未經(jīng)深思熟慮的情況下提供我們的數據，從而導致與以往相比，有更多數據被隨意傳播。無(wú)論是約會(huì )網(wǎng)站、電信服務(wù)提供商還是公共服務(wù)組織，我們幾乎每天都看到有關(guān)個(gè)人信息被泄露的新聞事件。這使得對個(gè)人信息濫用問(wèn)題的關(guān)注不斷增強，也意味著(zhù)組織對此決不能掉以輕心。

對這些問(wèn)題充分的認識，已經(jīng)引發(fā)了個(gè)人和政府部門(mén)在對個(gè)人數據收集、使用和保護方式上越來(lái)越多的關(guān)注；為此，一些政府部門(mén)擬定或者實(shí)施了新的法規，旨在提供與個(gè)人數據處理相關(guān)的指南和要求。

在歐洲，《通用數據保護條例》(GDPR)的推出協(xié)調了各類(lèi)數據隱私法律，充分反映了我們現在所生活的數字世界的現實(shí)狀況。

許多其他國家/地區（例如，韓國、澳大利亞和中國）也在制定數據保護法規。由于預期監管環(huán)境將日益加強，我們運營(yíng)所處的環(huán)境在不斷變化，針對組織應當如何管理和處理數據，以減少個(gè)人信息風(fēng)險的相關(guān)指南重大意義。國際標準化組織(ISO)和國際電工委員會(huì )(IEC)發(fā)布的國際標準ISO/IEC27701來(lái)提供此類(lèi)指南。

二、業(yè)務(wù)介紹

ISO/IEC27701是在隱私保護方面對ISO/IEC27001和ISO/IEC27002的擴展，針對保護可能受到個(gè)人信息收集和處理影響的隱私提供了更多相關(guān)指南。設計的目的在于借助更多的要求增強現有ISMS，以建立、實(shí)施、維護和持續改進(jìn)隱私信息管理體系(PIMS)。ISO/IEC27701標準概述了適用于個(gè)人身份信息(PII)控制者和PII處理者的框架，以有效管理隱私控制，降低個(gè)人隱私權面臨的風(fēng)險。ISO/IEC27701標準的附加要求和指南對于任何規模和文化環(huán)境的組織都具有實(shí)用性和可用性。

ISO/IEC27701標準的正式發(fā)布，目的在于使組織能夠獲得針對ISO/IEC27701的認證，以此作為ISO/IEC27001管理體系的擴展。計劃尋求通過(guò)ISO/IEC27701認證的組織還需要通過(guò)ISO/IEC27001認證，以證實(shí)對信息安全和隱私信息管理的承諾。

三、實(shí)施該業(yè)務(wù)的價(jià)值 

ISO/IEC 27701 該標準為企業(yè)和其他組織提供了一個(gè)國際通用的隱私信息管理工具，對于降低企業(yè)隱私合規難度，便利企業(yè)提供合規證明，增強社會(huì )各方對企業(yè)的信任程度具有重要意義。實(shí)施隱私信息管理，至少獲得如下收益：

1) 合規。通過(guò)明確對PII處理者的隱私保護要求，可以明確隱私保護管理合規目標，減輕組織合規負擔的同時(shí)降低了組織合規風(fēng)險，ISO/IEC27701標準附錄D中明確表示，單個(gè)隱私控制點(diǎn)可以滿(mǎn)足GDPR中的多項要求。滿(mǎn)足了ISO/IEC27701標準也就意味著(zhù)基本滿(mǎn)足GDPR的要求，而GDPR是眾多隱私保護法規中最為嚴格的。

2) 完善自身數據安全能力和風(fēng)險管理。實(shí)現持續完善產(chǎn)品的非功能性要求，進(jìn)而展示出產(chǎn)品在處理個(gè)人隱私安全、安全治理的績(jì)效，通過(guò)流程分析，在流程的輸入、輸出、控制過(guò)程中，識別、分析、驗證隱私保護需求、傳遞隱私保護價(jià)值，減少甚至消除隱私泄露的風(fēng)險，如：體現為采用隱私控制技術(shù)（如日志脫敏、數據庫加密）、產(chǎn)品架構（如加密芯片）、技術(shù)路徑（如完整性校驗）等。

3) PIMS認證可以傳遞信任?？蛻?hù)或合作伙伴，尤其是政府組織、金融機構作為承擔隱私風(fēng)險的機構，通常為要求PII處理者提供相關(guān)證據（如PIA分析報告），從而證明PII處理者的產(chǎn)品能符合使用的隱私管理體系要求。通過(guò)得到授權的第三方機構對PII處理者進(jìn)行基于國際標準的審核，可以極大的降低合規溝通成本，這種合規透明度的提高對于組織戰略和業(yè)務(wù)決策至關(guān)重要，同時(shí)PIMS認證也有助于向公眾傳達組織的可信度。

四、業(yè)務(wù)流程

申請認證的組織組織應已建立符合ISO/IEC 27001和ISO/IEC 27701標準要求的管理體系，且ISMS范圍覆蓋PIMS范圍，在申請認證之前應完成內部審核和管理評審，并保證體系有效、充分運行三個(gè)月以上；  

組織應向賽西認證提供管理體系運行的充分信息，對于多現場(chǎng)應說(shuō)明各現場(chǎng)的認證范圍、地址及人員分布等情況，賽西認證將以抽樣的方式對多現場(chǎng)進(jìn)行審核；

認證分兩個(gè)階段進(jìn)行：第一階段審核，主要進(jìn)行文件審核并確認第二階段審核準備的充分性；第二階段審核，主要對體系的符合性和有效性進(jìn)行評價(jià)，作出現場(chǎng)審核的推薦結論；

證書(shū)有效期3年，獲得認證后每年進(jìn)行一次監督，兩次監督間隔不得超過(guò)12個(gè)月。