ISO27701标准设计的目的在于借助更多的要求增强现有ISMS,以建立、实施、维护和持续改进隐私信息管理体系(PIMS)。标准概述了适用于个人身份信息(PII)控制者和PII处理者的框架,以有效管理隐私控制,降低个人隐私权面临的风险。
它适用于所有类型和规模的组织,涉及信息领域服务的任何大型或小型组织都可以申请认证,包括公共和私营公司、政府实体以及非盈利组织。
1.公司执照及相关资质(需要时)
2.依据ISO27701标准建立的体系文件(一级和二级文件,至少包含SOA文件和程序文件)
3.体系建立后至少运行3个月以上
4.至少进行一次内部审核、一次管理评审
5.包含PIMS要求的隐私信息安全风险评估资料(至少有风险评估计划、风险处置计划和残余风险报告)
6.适用PIMS要求的法律法规清单
7.运营场所物理平面图及网络拓扑图
8.PII识别处理PII信息流涉及的信息系统、存储介质等清单
9.PII影响评估报告。
ISO27701通过对隐私保护的控制对ISO27001进行补充,有效协助组织对隐私风险进行识别、分析、采取措施,确保符合高级别的隐私保护合规要求,将风险降到可接受水平并维持该水平,最终帮助组织建立完善的隐私信息管理体系,实现有效的隐私管理。
