ISO/IEC 27701是国际标准化组织发布的隐私信息管理体系标准,全称《安全技术—扩展ISO/IEC 27001和ISO/IEC 27002的隐私信息管理—要求与指南》。
ISO27701隐私信息管理体系的认证流程通常包括以下几个步骤:
建立体系:企业首先需要建立隐私信息管理体系,并通过企业内审和管理评审。
提交申请:向认证机构提交认证申请书、手册、程序文件等资料。
现场审核:认证机构受理后,会安排审核员进行现场审核,以评估企业的隐私信息管理体系是否符合ISO27701标准的要求。
整改与颁证:审核结束后,如果企业存在不符合项,需要进行整改。整改完成后,认证机构会颁发证书,证书有效期为三年,每年需要进行年审以保持证书的有效性。
ISO27701体系认证的要求包括多个方面,如:
收集与处理:企业需要识别处理目的与处理的法律依据,明确获取同意的方式、时间,并留存相应记录。同时,企业还需要进行隐私影响评估,并确保在未事先征得个人信息主体同意的前提下,不会将个人信息用于广告营销。
对个人信息主体的义务:企业需要确定并记录对个人信息主体所履行的法定义务和商业道德义务,并提供履行这些义务的方法。同时,企业还需要积极响应用户的修改权、撤回同意权、拒绝权、删除权、访问权等个人信息权利,并留存相应记录。
最小必要原则:企业需要确保流程和系统的设计能够使个人信息的收集和处理(包括使用、披露、存储、传输和删除)**于最小必要范围,并留存相关记录。
信息共享与传输:企业需要识别是否存在共享、转移、披露、跨境传输个人信息的情形,并记录具体行为。同时,企业还需要确保签署的书面合同中约定了个人信息保护的相关措施,如操作权限控制、个人信息泄露报告等。
培训与保密:可访问个人信息的员工应签署保密协议,并参与隐私保护与数据安全培训。
ISO27701隐私信息管理体系认证的周期通常为3-4个月。认证费用则因企业规模、所在地区、认证机构等因素而有所不同。一般来说,认证费用包括申请费、注册费、审核费等,具体价格需要咨询相关的认证机构。
