多种多样的平台已成为人们日常生活不可或缺的一部分,个人信息在这些平台中也被广泛的收集。例如,移动应用、会员计划、设备互联位置广告。这意味着我们经常在未经深思熟虑的情况下提供我们的数据,从而导致与以往相比,有更多数据被随意传播。无论是约会网站、电信服务提供商还是公共服务组织,我们几乎每天都看到有关个人信息被泄露的新闻事件。
ISO/IEC27701是在隐私保护方面对ISO/IEC27001和ISO/IEC27002的扩展,针对保护可能受到个人信息收集和处理影响的隐私提供了更多相关指南。设计的目的在于借助更多的要求增强现有ISMS,以建立、实施、维护和持续改进隐私信息管理体系(PIMS)。ISO/IEC27701标准概述了适用于个人身份信息(PII)控制者和PII处理者的框架,以有效管理隐私控制,降低个人隐私权面临的风险。ISO/IEC27701标准的附加要求和指南对于任何规模和文化环境的组织都具有实用性和可用性。
申请认证的组织组织应已建立符合ISO/IEC 27001:2013和ISO/IEC 27701:2019标准要求的管理体系,在申请认证之前应完成内部审核和管理评审,并保证体系有效、充分运行三个月以上;
ISO/IEC27701认证分两个阶段进行:第一阶段审核,主要进行文件审核并确认第二阶段审核准备的充分性;第二阶段审核,主要对体系的符合性和有效性进行评价,作出现场审核的推荐结论;
证书有效期3年,获得认证后每年进行一次监督。
