1. ISO/IEC 27701隐私管理体系关键术语解释
PII:个人可识别身份信息,指 a) 任何可以识别PII主体的信息或 b) 直接或间接与PII主体相关的信息
PIMS:Privacy Information Management System,隐私信息管理体系
Customer:
PII控制者的customer:与PII控制者有合约关系的组织,可以是共同控制者
PII处理者的customer:与PII处理者有合约关系的PII控制者
与PII处理的分包商有合约关系的PII处理者
2. ISO 27701结构组成
ISO 27701是ISO 27001和ISO 27002在隐私方面的扩展,并为隐私保护提供了除ISO 27001和ISO 27002之外的额外的指导。全文共分为8个章节及6个附录,主要的要求和指导内容集中在第5-8章。
其中第5章介绍了ISO 27001中延伸出的关于PIMS的扩展要求以及本标准对PIMS的附加要求,第6章则介绍了ISO 27002中对PIMS的扩展及附加要求,这两章的内容对PII控制者和处理者均适用,行文结构和控制域与原标准一致,包含ISO 27002共14个控制域、114个控制项。
第7章为专门针对PII控制者的额外指导内容,共31个控制项,第8章则为针对PII处理者的额外指导内容,共18个控制项,这两章均从PII的收集和处理,对PII主体的义务,Privacy by design & Privacy by default,PII的共享、传输和披露四个方面作出相应规定。
总体而言,本标准通过第5章和第6章将ISO 27002与附加的PIMS控制项通过ISO 27001中PDCA的方式导入体系,形成完整的信息安全和隐私管理体系。此外,第7章和第8章从数据生命周期的角度新增分别针对PII控制者和处理者的控制要求。同时,附录中还将本标准与GDPR、ISO 29100、ISO 27018及ISO 29151进行了映射。
南宁ISO认证咨询机构-安信达咨询是一九九六年七月经深圳市工商局批准注册、国家认监委首批备案认证咨询机构、广东省首批咨询培训备案企业机构,中小企业服务中心服务示范单位。公司技术力量雄厚,拥有具有国内、国外注册资格的签约专兼职咨询师200余人。目前,已成功地为10000多家企业提供了认证咨询、验厂咨询、管理咨询、资质申请和培训服务。公司与国内外众多知名、权威机构(如赛宝、CQC、ISCCC、BSI、SGS、DNV、TUV、BVQI、ITS、DQS、NQA等)等建立了深度及密切的合作关系。熟悉其认证程序与安排,这将有助于保证我们的客户通过认证。公司的服务宗旨是“诚信、严谨、高效、求实”,凭着丰富的专业管理理论/技术/方法,确保客户的管理体系符合ISO9001、IATF16949、ISO27001、ISO20000、ISO22301、ISO45001、TL9000、ISO14001、SA8000、OHSAS18001、ISO22000、QC080000、ISO13485、ISO28000等标准要求并能有效运作,按计划顺利通过客户自选的任何国内外认证机构之认证审核,并顺利取得证书。