ISO/IEC27701:2019隐私信息管理体系认证申请条件及需提供哪些材料

ISO/IEC 27701是对ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隐私扩展，全称《安全技术—扩展ISO/IEC 27001和ISO/IEC 27002的隐私信息管理—要求与指南》。它是ISO标准委员会以ISO 27001为基准，以ISO 27552为蓝本，建立发布的隐私信息管理体系标准，为保护个人隐私提供指导。ISO/IEC 27701标准的发布，填补了隐私信息管理体系的空白，将隐私保护的原则、理念和方法，融入到信息安全保护体系中，并且对PII控制者和PII处理者进行了较为详细且落地性强的规定，给企业在隐私保护和信息安全方面给出了指导建议。ISO/IEC 27701标准的正文由8个条款组成，内容如下：

•  条款1 范围

•  条款2 规范性引用文件

•  条款3 术语、定义和缩写

•  条款4 总则

•  条款5 给出了ISO 27001相关的PIMS要求

•  条款6 给出了ISO 27002相关的PIMS指南

•  条款7 给出了针对PII控制者的ISO 27002扩展指南

•  条款8 给出了针对PII处理者的ISO 27002扩展指南

•  附录A 针对PII控制者的PIMS特定的控制目标和控制措施

•  附录B 针对PII处理者的PIMS特定的控制目标和控制措施

•  附录C 与ISO/IEC 29100的映射关系

•  附录D 与GDPR的映射关系

•  附录E 与ISO/IEC 27018和ISO/IEC 29151的映射关系

•  附录F 如何在ISO/IEC 27001和ISO/IEC 27002的基础上实施ISO/IEC 27701

标准设计借助更多的要求增强现有 ISMS，以建立、实施、维护和持续改进隐私信息管理体系 (PIMS)。标准概述了适用于个人身份信息 (PII) 控制者和 PII 处理者的框架， 以有效管理隐私控制，降低个人隐私权面临的风险。它适用于所有类型和规模的组织，包括公共和私营公司、政府实体以及非盈利组织。

获证收益

01满足合规要求

通过明确对PII处理者生命周期的隐私保护要求，可以明确隐私保护管理合规目标，减轻组织合规负担的同时降低组织合规风险，通过体系认证来满足来自不同国家和地区的多项隐私法规和政策的合规要求。

02完善数据安全和隐私风险管理

提高组织管理数据安全和隐私风险的能力，通过流程分析，在流程的输入、输出、控制各个环节中，识别、分析、验证隐私保护需求，减少甚至消除隐私泄露的风险。

03增强相关方对个人信息管理的信任

业务伙伴通常会要求PII处理者提供相关证据，来证明其产品能符合适用的隐私管理体系要求。通过得到授权的第三方机构对PII处理者进行审计验证，是企业隐私保护能力的一种体现，可以极大地降低合规沟通成本，增强企业与消费者、合作伙伴、监管部门的信任。

申请条件

1、企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件。

2、申请方已按照ISO27701标准要求建立体系并实施运行3个月以上。

3、至少完成一次数据保护/隐私影响评估、内部审核，并进行了管理评审。

4、体系运行期间及建立体系前一年内未受到主管部门行政处罚。

提供材料

（包括但不限于）

1、法律地位证明文件（如企业营业执照）

2、依据ISO27701标准建立的体系文件（一级和二级文件，至少包含SOA文件和程序文件）

3、体系建立后体系运行记录（至少运行3个月以上），内部审核、管理评审记录和报告

4、包含PIMS要求的隐私信息安全风险评估资料（至少有风险评估计划、风险处置计划和残余风险报告）

5、适用PIMS要求的法律法规清单

6、运营场所物理平面图及网络拓扑图

7、PII识别处理PII信息流涉及的信息系统、存储介质等清单

8、PII影响评估报告等。

TIPS
ISO27001隐私保护术语

PII：个人可识别信息 Personally identifiable information,也译作个人身份信息

PIMS：隐私信息管理体系

PII控制者：确定处理PII的目的和手段隐私利益相关者，但不包括出于个人目的使用数据的自然人

PII控制者的customer：与PII控制者有合约关系的组织，可以是共同控制者

PII处理者：代表并按照 PII 控制者的说明处理PII的隐私利益相关者

PII处理者的customer：与PII处理者有合约关系的PII控制者