【体系认证】ISO27701 隐私信息管理体系

认证定义

ISO/IEC 27701 隐私信息管理体系是ISO国际标准化组织和IEC国际电工委员会联合发布的隐私信息管理体系国际标准，它是对SO27001信息安全管理体系的扩展，在全球普遍受到认可，且具国际权威性。

ISO/IEC27701通过对隐私保护的控制对ISO/IEC27001进行补充，有效协助组织对隐私风险进行识别、分析、采取措施，确保符合高级别的隐私保护合规要求，将风险降到可接受水平并维持该水平，最终帮助组织建立完善的隐私信息管理体系，实现有效的隐私管理。
2

认证适用范围

ISO/IEC27701认证适用于各个行业类别，涉及信息领域服务的任何大型或小型组织都可以申请认证。

认证规定

1、收集和处理鉴别解决目地和处理的法律规定;确立获得允许的形式、时长，并留存相对应记录;开展个人隐私危害评定。

2、广告推广在没有事前征求个人信息行为主体允许前提下，不容易将个人信息用以广告推广。

3、解决责任明确并记录对个人信息行为主体所履行的法律义务和商业伦理责任，同时提供执行这种义务的方式;大力支持客户的修改权、撤销同意权、回绝权、删掉权、浏览权等个人信息支配权并留存相对应记录。

4、默认个人隐私保护保证流程及系统软件设计可以使个人信息的收集正确处理(包含应用、公布、储存、传送和删掉)仅限最少必需范畴，并留存有关记录。

5、共享迁移鉴别存不存在共享、迁移、公布、跨境电商传送个人信息的情况，并记录实际个人行为。

6、合同规定签订的书面协议应承诺个人信息维护的有关对策，比如操作权限操纵、个人信息泄漏汇报等。

7、员工技能培训可浏览个人信息的职工应签订保密协议书，并参加个人隐私保护与网络信息安全学习培训。

8、总体规划鉴别利益相关方的需要及希望，进一步明确体系管理的范畴;明确的内部工作人员义务及相关的目标与规划;确立实际的运转规划和控制方法，评定并处理风险性;内部结构按时审查并继续完善管理体系。

认证要求

1、按照ISO27701管理体系标准要求建立体系框架

2、体系建立后，需要运行一段时间，至少3个月，产生3个月的运行记录:

3、向认证机构递交审核申请,

4、认证机构评估费用和正式审核时间:

5、认证机构将进行预审，在正式审核前排除一些重大损失，同时让客户熟悉审核的方法进行评估，审查方针，范围和采用的程序。检查体系中遗漏和繁琐需要修改的地方:

6、认证机构进行实施审核;

7、如果顺利完成审核，在确定清楚认证范围后，发放证书。
5

认证优势

1、驱使他人对您企业的信任感——让您的客户和利益相关者对其个人数据和信息的安全性更加放心。

2、提供竞争优势——借由为个人信息提供最高程度的保护，让您从竞争对手之中脱颖而出。

3、保护品牌声誉——降低因数据泄露引发的负面宣传风险。

4、降低风险——确保风险被识别，且控制措施到位以管理或降低风险。

5、防止罚款——确保遵守当地法规，降低对数据泄露的罚款风险。

6、助力企业发展——提供覆盖不同国家的通用指导方针，为在全球范围内开展业务和获得作为首选供应商的机会提供便利性。

图片

认证流程

企业在申请认证时，需准备好以下材料：

1、公司执照及相关资质(需要时)
2、依据ISO27701标准建立的体系文件(一级和二级文件，至少包含SOA文件和程序文件)
3、体系建立后至少运行3个月以上
4、至少进行一次内部审核、一次管理评审
5、包含PIMS要求的隐私信息安全风险评估资料(至少有风险评估计划、风险处置计划和残余风险报告)
6、适用PIMS要求的法律法规清单
7、运营场所物理平面图及网络拓扑图
8、PII识别处理PII信息流涉及的信息系统、存储介质等清单
9、PII影响评估报告。

具体认证流程如下：
在这里插入图片描述

ISO27701是什么？

较为官方介绍：ISO/IEC 27701是对ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隐私扩展。是一项国际管理系统标准体系，为保护个人隐私提供指导，包括组织应如何管理个人信息，并协助证明遵守了世界各地的隐私法规。

ISO27701的结构：正文+附录。

正文：ISO27001、ISO27002中关于PII保护的扩展及附加要求及指南

附录A中列出了作为PII控制者的组织的PIMS特定目标和控制措施。

附录B中列出了作为PII处理者的组织的PIMS特定目标和控制措施。

附录C给出了标准与ISO29100的映射。

附录D是与GDPR的映射。

附录E是与ISO27018和ISO29151的映射。

附录F则是如何在处理PII时应用ISO27001和ISO27002要求。

为什么选择ISO27701认证？

首先，其适用于所有规模和类型的企业，能够系统的指导企业建立起隐私管理体系，符合其作为数据控制者或处理者处理隐私信息的合规要求；其次，通过此认证可以展现出对隐私保护的可信度与承诺，利于用户的选择与支持；最后，ISO27701与国内海外陆续出台的隐私标准相辅相成，提供了与BS10012，ISO27018、ISO29100这些标准的条款对应关系以及如何应用的说明。且ISO27701是最新发布，目前来看也是比较权威的隐私保护标准，已成为各企业的首选。

其他隐私标准的简单介绍：

BS10012 ：第一个隐私管理国际标准，是GDPR的一个落地指导。

ISO/IEC 29100：隐私框架

ISO/IEC 29151：是隐私保护的实践指南，未深入研究，查阅资料有反馈较于ISO27701侧重隐私管理，其侧重于隐私技术。

ISO/IEC 27018 ：又称"云隐保护认证"，针对保护云中个人数据安全的行为准则。

2.隐私影响评估

先看一下风险评估，ISO27001 要求风险评估，则ISO27701也是在开展了信息安全风险评估的基础上开展隐私影响评估。风险评估是风险管理的一个重要过程。风险管理国际标准ISO 31000定义风险评估的过程包括：风险识别、风险分析及风险评价。可以查阅《信息技术安全技术信息安全风险管理》查看基于信息资产的风险评估方法，也可以参考本公众号《信息安全管理体系建设思路》中介绍过的其他信息安全风险评估的方法，有兴趣可查看。

再看隐私影响评估，隐私影响评估较ISO27001提到的信息安全风险评估已不单单是识别导致PII CIA丧失的相关安全风险，还包括处理PII处理过程中存在的合规风险（ PII主体合法权益是否遭到损害的各种风险）。

隐私影响评估与信息安全风险评估可以同时开展或分别进行。

可参考的标准：《信息安全技术个人信息安全影响评估指南》、《信息技术安全技术隐私影响评估指南》

可以使用工具进行辅助，据小伙伴分享，目前已经有部分厂商提供相应检测产品以及服务，有需要的可以采购起来；产品原型可能是基于：《信息安全技术个人信息安全规范》、《网络安全标准实践指南—移动互联网应用程序（App）收集使用个人信息自评估指南》、《移动互联网应用程序（App）系统权限申请使用指南》、《App违法违规收集使用个人信息行为认定方法》等标准

我司也已经开源了一版DPIA系统，基于GDPR要求，识别隐私风险的过程工具，势在把技术、流程、人有效整合，详见本公众号《猎豹移动DPIA系统开源》，目前结合ISO27701要求，第二版本在研发优化中，敬请等待。

最后介绍下我司此次隐私影响评估的具体做法，因工具在开发中，主要靠表格工具实施，分别开展了隐私政策评估与PII处理生命周期过程的合规评估。其中PII处理生命周期过程的合规评估以应用的功能为维度，梳理识别各应用中各功能（包括不限于基本功能、附加功能）分别收集的PII信息以及获取权限的合规与安全情况，包括收集信息是否公开透明，目的是否合理明确、收集是否经过授权同意、最少够用等，存储、使用、传输是否具有相应安全措施，是否符合相应地区的法律要求及合同要求等等。

3.建立组织

这里特别想强调一下体系融合，因为不管信息安全管理体系、隐私管理体系、应急管理体系等都要求建立一个相应组织与责任人，随着企业安全建设发展，大部分企业都已建立起相应的体系，构建起相应的组织，所以，开展新的体系时将新职责对应的岗位角色进行相应补充、调整融合即可，这样可以减少组织建设过于复杂以及有利于日常实际作用，具体组织架构也可参考本公众号《信息安全管理体系建设思路》。

4.PII分级

PII分级是落实，调整安全控制措施的重要前提与依据。根据PII级别分别实施差异化防护策略，落实不同强度的管理及技术措施，实现资源配置效益最大化，管理张弛有度，防止缺少足够重视或过于保护造成的损失或浪费。

企业分类分级一般都会参考GDPR和《信息安全技术个人信息安全规范》，但，值得注意的是，有些特殊类型的个人数据一定是敏感数据，例如个人基因，生物特征等数据，但有些个人数据需根据具体场景来判断。例如个人上网记录中的“收藏列表”，如果教条的查看35273的附录A和B，很有可能直接判定为非个人敏感信息，但值得注意的是具体场景下分析，如果其反映或可以直接被利用分析出个人主体的隐私，那他的敏感性就值得再商榷了。另外不同PII信息的组合，敏感程度不同，企业可根据具体需要分为多个等级进行管理。

PII分级结果也是隐私影响评估的重要输入，所以在隐私影响评估的业务信息及数据流梳理时就要进行分析并标识。

5.制度建立

根据隐私影响评估以及PII分级情况，依据ISO27701 的标准要求，建立隐私制度管理体系，在已建立的信息安全管理体系中补充完善隐私保护相关内容，如用户主体权利响应的流程要求、个人信息对外提供管理要求，以及应用研发应遵守的隐私保护默认设计要求等。需要注意的是作为PII控制者和PII处理者需要建立的制度要求不同，应根据企业的角色分别进行补充。