ISO/IEC 27701标准设计的目的在于借助更多的要求增强现有ISMS,以建立、实施、维护和持续改进隐私信息管理体系(PIMS)。标准概述了适用于个人身份信息(PII)控制者和PII处理者的框架,以有效管理隐私控制,降低个人隐私权面临的风险。它适用于所有类型和规模的组织,包括公共和私营公司、政府实体以及非盈利组织。
1、收集和处理鉴别解决目地和处理的法律规定;确立获得允许的形式、时长,并留存相对应记录;开展个人隐私危害评定。
2、广告推广在没有事前征求个人信息行为主体允许前提下,不容易将个人信息用以广告推广。
3、解决责任明确并记录对个人信息行为主体所履行的法律义务和商业伦理责任,同时提供执行这种义务的方式;大力支持客户的修改权、撤销同意权、回绝权、删掉权、浏览权等个人信息支配权并留存相对应记录。
4、默认个人隐私保护保证流程及系统软件设计可以使个人信息的收集正确处理(包含应用、公布、储存、传送和删掉)仅限最少必需范畴,并留存有关记录。
5、共享迁移鉴别存不存在共享、迁移、公布、跨境电商传送个人信息的情况,并记录实际个人行为。
6、合同规定签订的书面协议应承诺个人信息维护的有关对策,比如操作权限操纵、个人信息泄漏汇报等。
7、员工技能培训可浏览个人信息的职工应签订保密协议书,并参加个人隐私保护与网络信息安全学习培训。
8、总体规划鉴别利益相关方的需要及希望,进一步明确体系管理的范畴;明确的内部工作人员义务及相关的目标与规划;确立实际的运转规划和控制方法,评定并处理风险性;内部结构按时审查并继续完善管理体系。
