ISO/IEC 27701是国际标准化组织发布的隐私信息管理体系标准,全称《安全技术—扩展ISO/IEC 27001和ISO/IEC 27002的隐私信息管理—要求与指南》。
2018年欧盟GDPR生效,就提出了以第三方认证作为数据(特别是个人数据)传输的基础,但并未明确采信哪个标准。实际上包括GDPR在内,各国与隐私相关的法律不尽相同,加州法案,以及澳大利亚或日本等国家都有自己的法律,我国的《个人信息保护法》也于11月1日生效。因此,当前急需一种国际通行的隐私管理标准。
2021年,欧盟对第三方认证的要求做出了司法解释,其采信的第三方认证需由监管机构认可或国家认可机构认可。国家认可机构认可制度实际是IAF国际认可论坛围绕ISO相关标准确立的认可机制。ISO27701标准的推出,很大程度上可以满足各国相关隐私保护法律法规的要求。
1、法律地位证明文件(如企业营业执照)
2、依据ISO27701标准建立的体系文件(一级和二级文件,至少包含SOA文件和程序文件)
3、体系建立后体系运行记录(至少运行3个月以上),内部审核、管理评审记录和报告
4、包含PIMS要求的隐私信息安全风险评估资料(至少有风险评估计划、风险处置计划和残余风险报告)
5、适用PIMS要求的法律法规清单
6、运营场所物理平面图及网络拓扑图
7、PII识别处理PII信息流涉及的信息系统、存储介质等清单
8、PII影响评估报告等。
