隐私信息管理体系(Privacy Information Management System,PIMS)是一种国际标准化的管理体系,旨在帮助组织有效管理个人可识别信息(PII),保护个人隐私,并确保符合全球各地的隐私法规。
PIMS是基于ISO/IEC 27001和ISO/IEC 27002的信息安全管理体系的扩展,专注于隐私保护。
它为组织在处理个人身份信息(PII)时提供了全面的指导,包括如何识别、评估和降低隐私风险。
关键组成部分
PII控制者与处理者:PIMS明确了PII控制者(决定数据处理目的和方式的组织)和PII处理者(代表控制者处理数据的组织)的角色和责任。
隐私保护原则:强调数据主体的权利,如访问权、更正权和删除权,并要求组织在数据处理过程中遵循隐私原则。
风险导向方法:采用风险评估机制,识别和处理与个人数据相关的隐私风险。
第三方管理:要求组织确保其供应商和合作伙伴也遵守隐私保护要求。
ISO/IEC 27701认证是一项国际标准化的隐私信息管理体系(PIMS)认证,它是对ISO/IEC 27001信息安全管理体系和ISO/IEC 27002安全控制的隐私扩展。该认证于2019年发布,旨在帮助组织更好地保护和管理个人可识别信息(PII),并确保符合全球隐私法规。
认证的主要内容
隐私保护框架:ISO/IEC 27701为建立、实施、维护和持续改进隐私信息管理体系提供了具体要求和指南。它通过扩展ISO/IEC 27001的信息安全管理体系(ISMS),增加了隐私保护相关的控制措施。
适用范围:该标准适用于所有类型和规模的组织,包括公共和私营公司、政府机构以及非盈利组织。
角色与责任:明确了个人可识别信息(PII)控制者和处理者的角色与责任,帮助组织更好地管理隐私风险。
合规性支持:ISO/IEC 27701认证为组织提供了应对全球隐私法规(如欧盟《通用数据保护条例》GDPR)的框架,帮助简化复杂的合规要求。
