10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构服务项目
最新动态
热点文章
首页 > 服务项目 > ISO27000认证咨询 > ISO27000信息安全认证证书申请,共同个人信息控制者要求iso27000认证:ISO27000信息安全认证证书申请,共同个人信息控制者要求
1、共同个人信息控制者
对个人信息控制者的要求包括:
a) 当个人信息控制者与第三方为共同个人信息控制者时,个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,并向个人信息主体明确告知;
b)如未向个人信息主体明确告知第三方身份,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,个人信息控制者应承担因第三方引起的个人信息安全责任。
注:如个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件(例如,网站经营者与在其网页或应用程序中部署统计分析工具、软件开发工具包SDK、调用地图API接口),且该第三方并未单独向个人信息主体征得收集个人信息的授权同意,则个人信息控制者与该第三方在个人信息收集阶段为共同个人信息控制者。
2、第三方接入管理
当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务且不适用9.1和9.6时,对个人信息控制者的要求包括:
a) 建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件;
b)应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施;
c) 应向个人信息主体明确标识产品或服务由第三方提供;
d) 应妥善留存平台第三方接入有关合同和管理记录,确保可供相关方查阅;
e) 应要求第三方根据本标准相关要求向个人信息主体征得收集个人信息的授权同意,必要时核验其实现的方式;
f)应要求第三方产品或服务建立响应个人信息主体请求和投诉等的机制,以供个人信息主体查询、使用;
g)应监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,应及时督促整改,必要时停止接入;
h) 产品或服务嵌入或接入第三方自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜采取以下措施:
1)开展技术检测确保其个人信息收集、使用行为符合约定要求;
2)对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超出约定的行为,及时切断接入。
3、个人信息跨境传输
在中华人民共和国境内运营中收集和产生的个人信息向境外提供的,个人信息控制.者应遵循国家相关规定和相关标准的要求。
1、ISO27001认证申请条件
(1)持有法人营业执照,必要时提供资质证明文件
(2)信息安全体系运行满3个月以上
(3)至少完成一次内部审核及管理评审
(4)企业配备相应的人员、设备设施、办公区域等
2、ISO27001认证周期
提交申请文件后2个月左右
3、ISO27001认证流程
签订合同--提交申请文件--评审--安排审核--现场审核--整改不符合--发证
4、ISO27001认证文件材料
(1)信息安全管理手册
(2)信息安全程序文件
(3)信息安全适用性声明(SOA)
(4)信息安全策略
(5)信息安全方针、目标
(6)信息安全内部审核、管理评审
(7)作业指导书
(8)记录文件(文件控制程序、记录控制程序、信息安全风险管理程序、信息安全法律法规程序、密码控制管理程序、信息安全测量管理程序等涉及的记录表单)等。
5、ISO27001认证证书有效期
证书有效期为3年,获证后每年进行一次年审(监督审核)
想了解更多的关于iso27000认证信息可以经常关注我们
【相关文章】
