10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构服务项目
最新动态
热点文章
首页 > 服务项目 > ISO27701隐私信息管理体系认证咨询 > 个人信息安全基本原则,ISO27701隐私信息管理体系认证证书办理ISO27701认证:个人信息安全基本原则,ISO27701隐私信息管理体系认证证书办理
个人信息控制者开展个人信息处理活动应遵循合法、正当、必要的原则,具体包括:
a) 权责一致——采取技术和其他必要的措施保障个人信息的安全,对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任;
b) 目的明确——具有明确、清晰、具体的个人信息处理目的;
c) 选择同意——向个人信息主体明示个人信息处理目的、方式、范围等规则,征求其授权同意;
d) 最小必要——只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时删除个人信息;
e) 公开透明——以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督;
f) 确保安全——具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性;
g) 主体参与_向个人信息主体提供能够查询、更正、删除其个人信息,以及撤回授权同意、注销账户、投诉等方法。
一、ISO27701认证简介
ISO/IEC 27701是国际标准化组织发布的隐私信息管理体系标准,全称《安全技术—扩展ISO/IEC 27001和ISO/IEC 27002的隐私信息管理—要求与指南》。
该标准基于PII相关组织和利益相关方要求;明确隐私影响评估的要求;针对组织作为PII控制者/PII处理者等组织角色,形成PIMS(隐私信息管理体系)。
二、ISO27701认证适用范围
该标准适用于所有类型和规模的组织,包括公共和私营公司、政府机构和非盈利组织。
三、ISO27701认证相关法律法规清单
国内与隐私保护相关的法律法规包括:《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》等。
国际上与隐私保护相关的法律法规包括a美国:《隐私权法》、《电子通讯隐私法》、《金融服务现代化法案》、《儿童在线隐私权保护法案》、《健康保险携带和责任法》和《有效保护隐私权的自律规范》等;b欧盟:GDPR、《关于在个人数据处理过程中保护当事人及此类数据自由流通的指令》等;c日本:《个人信息保护法》等;d加拿大:《隐私法》和《个人信息保护与电子文件法》等;e国际交流:OECD《关于保护隐私和个人数据国际流通的指南》和《APEC隐私保护框架》等。
四、ISO27701:2019认证标准要求包括
1.收集与处理
识别处理目的与处理的法律依据;明确获取同意的方式、时间,并留存相应记录;进行隐私影响评估。
2.广告营销
在未事先征得个人信息主体同意的前提下,不会将个人信息用于广告营销。
3.处理义务
确定并记录对个人信息主体所履行的法定义务和商业道德义务,并提供履行这些义务的方法;积极响应用户的修改权、撤回同意权、拒绝权、删除权、访问权等个人信息权利并留存相应记录。
4.默认的隐私保护
确保流程和系统的设计能够使个人信息的收集和处理(包括使用、披露、存储、传输和删除)仅限于最小必要范围,并留存相关记录。
5.共享转移
识别是否存在共享、转移、披露、跨境传输个人信息的情形,并记录具体行为。
6.合同约定
签署的书面合同应约定个人信息保护的相关措施,例如操作权限控制、个人信息泄露报告等。
7.员工培训
可访问个人信息的员工应签署保密协议,并参与隐私保护与数据安全培训。
8.整体规划
识别相关方的需求及期待,并明确管理体系的范围;确定内部的人员责任及相应的目标与规划;明确具体的运行计划和控制措施,评估并处置风险;内部定期评审并持续完善管理体系。
想了解更多的关于ISO27701认证信息可以经常关注我们
【相关文章】
