ISO27701:2019是为建立、实现、维护和持续改进隐私信息管理系统(PIMS)提供具体要求和指南,令PIMS作为ISO27001中定义的灵活信息安全管理系统(ISMS)的扩展,在信息安全的基础上将处理PII所需的隐私保护纳入考虑。与ISO27001标准类似,ISO27701不期望组织机构在所有情况下采纳每一条控制。
《ISO/IEC27701,安全技术-扩展的ISO/IEC27001和ISO/IEC27002-隐私信息管理要求和指南》的发布,填补了目前隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并且对PII控制者和PII处理者进行了较为详细且落地性强的规定,细化了隐私信息管理的要求,给企业在隐私保护和信息安全方面给出了指导建议。
1、公司执照及相关资质(需要时)
2、依据ISO27701标准建立的体系文件(一级和二级文件,至少包含SOA文件和程序文件)
3、体系建立后至少运行3个月以上
4、至少进行一次内部审核、一次管理评审
5、包含PIMS要求的隐私信息安全风险评估资料(至少有风险评估计划、风险处置计划和残余风险报告)
6、适用PIMS要求的法律法规清单
7、运营场所物理平面图及网络拓扑图
8、PII识别处理PII信息流涉及的信息系统、存储介质等清单
9、PII影响评估报告等。
