全国客服热线:
025-8622844413913844442
025-8622844413913844442
当前栏目:首页>>新闻中心>>隐私信息管理体系认证
随着全球数据隐私保护法律法规日趋严格,组织在处理个人信息时面临的合规挑战与信任需求日益凸显。为帮助各类组织系统化地管理隐私风险,国际标准化组织(ISO)与国际电工委员会(IEC)联合发布了ISO/IEC 27701标准,为建立、实施、维护和持续改进隐私信息管理体系提供了全球通用的框架。我国已将该项标准等同转化为GB/T 41817国家标准。作为经国家认监委依法批准设立、具备信息安全管理体系与隐私管理体系认证专业范围认可资格的独立第三方认证机构,我中心依据ISO/IEC 27701:2019及GB/T 22080/ISO/IEC 27001两项标准,对组织实施的隐私信息管理体系(PIMS)开展认证审核活动,现就该项认证作如下介绍。
ISO/IEC 27701:2019《安全技术——针对隐私信息管理的ISO/IEC 27001和ISO/IEC 27002的扩展——要求与指南》由ISO/IEC JTC 1/SC 27信息安全、网络安全和隐私保护分技术委员会编制,于2019年8月6日正式发布。该标准是ISO/IEC 27000系列标准中专门针对隐私信息管理的国际标准,它在ISO/IEC 27001信息安全管理体系要求的基础上,补充了与隐私保护相关的特定要求与控制措施指南。
ISO/IEC 27701首次将隐私管理体系与信息安全管理体系进行有机整合,针对个人可识别信息(PII)的处理活动,分别对PII控制者和PII处理者提出了细化的管理要求。该标准不仅呼应了欧盟《通用数据保护条例》(GDPR)的核心理念,也与《中华人民共和国个人信息保护法》等世界各主要经济体的隐私立法高度兼容。我国已将该标准等同转化为GB/T 41817-2022《信息安全技术 隐私信息管理体系 要求》,现行有效。
我中心依据ISO/IEC 27701:2019《安全技术——针对隐私信息管理的ISO/IEC 27001和ISO/IEC 27002的扩展——要求与指南》和GB/T 22080/ISO/IEC 27001《信息技术——安全技术——信息安全管理体系——要求》两项标准开展认证审核活动。我中心颁发的认证证书标注上述标准为认证依据。
鉴于ISO/IEC 27701是对ISO/IEC 27001的扩展,对已具备有效ISO/IEC 27001认证的组织,可直接在现有体系基础上增加隐私管理模块,认证审核可高效整合实施。我中心亦可同时受理两项认证的初次申请,通过一体化审核方案完成评估,确保组织信息安全与隐私管理能力同步获得国际认证。
本认证适用于任何规模和类型、处理个人信息的组织,涵盖PII控制者和PII处理者两种角色,包括但不限于:
● PII控制者:单独或共同决定个人信息的处理目的和方式的组织,如电商平台、金融机构、医疗机构、教育机构、政府服务部门及各类掌握大量客户、员工信息的企事业单位;
● PII处理者:代表控制者处理个人信息的组织,如云计算与IT外包服务商、人力资源代理机构、数据分析公司、呼叫中心等;
● 兼具双重角色的组织:既作为控制者决定自身业务中的个人信息处理,又作为处理者为其他组织提供涉及个人信息的服务。
该标准适用于组织处理员工个人数据、客户个人数据以及其他数据主体个人数据的全部场景,不限定行业。
依据ISO/IEC 27701标准,认证审核围绕组织对隐私数据的全生命周期治理能力展开,重点关注以下核心管理领域:
隐私治理框架: 明确隐私保护职责与问责机制,建立隐私政策和目标,确保最高管理层的参与。组织应明确隐私保护的治理结构,包括指定数据保护官(DPO)或类似职能,并界定PII控制者、处理者及第三方之间的责任关系。
隐私风险管理与影响评估: 建立系统化的隐私风险评估流程,在涉及个人信息处理的系统或项目设计、变更时实施隐私影响评估(PIA/DPIA),识别并缓解对数据主体权利与自由的风险。
合法性基础与透明度: 确保处理个人信息具备合法性基础(如同意、合同必需、法定义务等),通过隐私声明等方式向数据主体提供清晰、透明的处理信息。管理数据主体权利的行使请求,包括访问、更正、删除、限制处理、数据可携带以及异议等权利。
数据最小化与目的限制: 限定收集的个人信息范围及处理目的,确保不超范围利用,建立个人数据留存与销毁策略。
数据共享、传输与披露: 明确对第三方PII处理者的管理要求,对于个人信息跨境传输进行评估并实施适当的保护措施。
隐私安全控制: 在信息安全措施中嵌入隐私保护要求,涵盖访问控制、加密与脱敏、数据防泄漏、日志记录、物理环境安全等。
事件响应与违规通知: 建立个人信息安全事件响应和违规通知机制,确保在法定时限内向监管机构及数据主体履行通知义务。
持续监控与改进: 定期对隐私管理体系进行监视、测量、分析和评价,通过内部审核、管理评审和纠正措施,推动体系持续有效运行。
申请本认证的组织应当同时满足以下基本条件:
1. 具有独立法人资格或经法人授权的合法经营资格,持有有效的营业执照或相关资质文件;
2. 组织存在处理个人信息的业务活动,属PII控制者或处理者;
3. 已按照ISO/IEC 27701以及ISO/IEC 27001的要求建立文件化的隐私信息管理体系,并正式运行不少于三个月;
4. 在认证审核前,已实施至少一次覆盖标准全部适用要素的内部审核和管理评审;
5. 体系运行期间及认证申请前一年内,未因个人信息保护问题受到主管部门的重大行政处罚。
我中心实施隐私信息管理体系认证的基本流程如下:
(一)申请与受理。 申请组织向我中心提交正式认证申请书及相关证明文件,包括有效的营业执照、隐私信息管理体系文件(如PIMS手册、隐私政策、程序文件、隐私风险评估报告、隐私影响评估记录、适用性声明等)、个人信息处理活动说明及处理者/控制者角色声明。我中心对申请材料进行完整性审查,确认符合受理条件后正式受理。
(二)第一阶段审核(文件审查)。 审核组对申请组织提交的体系文件进行书面审查,确认组织的隐私管理体系文件是否符合ISO/IEC 27701和ISO/IEC 27001的适用要求,充分覆盖隐私治理、风险评估、权利响应等核心过程,并评估第二阶段现场审核的重点及可行性。
(三)第二阶段审核(现场审核)。 文件审查通过后,审核组进驻申请组织的运营场所,通过访谈管理层、数据保护官及相关岗位人员、查阅体系运行记录、现场观察个人信息处理活动、抽样验证数据主体权利响应过程等方式,全面评估隐私信息管理体系运行的有效性和符合性。审核范围须覆盖标准全部适用条款及认证范围所涉及的主要个人信息处理活动。
(四)认证决定。 审核组根据现场审核发现,形成综合评价报告。我中心独立于审核组的认证决定人员依据审核报告和审核证据做出认证决定。当确认组织的隐私信息管理体系全面满足标准要求时,即为组织颁发认证证书。
(五)监督审核与再认证。 认证证书有效期为三年。获证后,组织须按年度接受监督审核,两次监督审核间隔不得超过12个月。证书到期前须重新申请再认证审核,再认证流程与初次认证一致。
获得ISO/IEC 27701认证,是组织具备国际公认的隐私信息管理能力的重要标志,具有多方面价值:
在法律合规方面,该认证标准与GDPR、《中华人民共和国个人信息保护法》等全球主要隐私法规的要求高度一致,可帮助组织系统化地识别并履行合规义务,显著降低因违规处理个人信息而面临的罚款和法律责任风险。
在增强信任方面,认证向客户、合作伙伴、监管机构及社会公众证明,组织已依据国际标准建立严格的隐私保护治理体系,切实保障个人信息安全与数据主体权利,是赢得数字时代信任的权威凭证。
在市场竞争方面,该认证已成为诸多行业领先企业和政府部门在选择涉及个人信息处理的供应商时的刚性准入条件。获得认证有利于组织在招投标、供应商入库、商业合作中建立差异化竞争优势。
在管理整合方面,基于与ISO/IEC 27001的兼容结构,组织可将隐私管理与信息安全高效整合,避免管理碎片化,提升内控效率和运营韧性。
作为经国家认监委依法批准设立、具备隐私信息管理体系认证专业范围认可资格的独立第三方认证机构,我中心拥有一批经过严格培训且具备ISO/IEC 27701认证审核资格的专业审核员,具备丰富的隐私保护审核经验,深入了解国内外个人信息保护法律法规。中心严格遵守国家认证认可法律法规,遵循客观独立、公开公正、诚实信用的原则,确保认证结论的权威性和公信力,对所有申请组织提供平等、规范的认证服务。
如需进一步了解认证详情或提交认证申请,请通过我中心官方渠道获取申请文件和相关材料。
新闻聚焦