隱私信息管理

ISO27701隱私信息管理體系讓組織能持續(xù)改善在數(shù)據(jù)保護方面的實踐，同時也是對信息安全管理體系在個人信息保護方面的進一步深化，旨在個人數(shù)據(jù)利用與保護之間進行合理的平衡，降低組織運營與合規(guī)方面的風險。ISO/IEC 27701適用于所有類型和規(guī)模的組織，包括公共和私營公司以及非盈利組織。通過實施ISO/IEC 27701標準，能夠使組織給他們的監(jiān)管機構(gòu)、合作伙伴、客戶和雇員等帶來更加有力的信任，為組織贏得更多的機遇。 

ISO27001是ISO27000系列的主標準，類似于ISO9000系列中的ISO9001，各類組織可以按照ISO27001的要求建立自己的信息安全管理體系(ISMS)，并通過認證。

ISO已為信息安全管理體系標準預留了ISO/IEC 27000系列編號，類似于質(zhì)量管理體系的ISO9000系列和環(huán)境管理體系的ISO14000系列標準。

ISO27001認證分為兩大部分：BS7799-1，信息安全管理實施規(guī)則；BS7799-2，信息安全管理體系規(guī)范。

（二）ISO27701認證又有哪些要求？
ISO/IEC 27701:2019是國際標準化組織（ISO）和國際電工委員會（IEC）在ISO/IEC 27001和ISO/IEC 27002的基礎上聯(lián)合發(fā)布的首部針對隱私信息管理的國際標準，該標準于2019年8月發(fā)布，其對隱私信息管理體系的建立、運行、維護和完善做出了相關的細化要求，提供了國際通用的隱私管理合規(guī)實踐，幫助企業(yè)構(gòu)建多維度的信息安全和個人信息保護管理體系要求主要包括：
1.收集與處理
識別處理目的與處理的法律依據(jù)；明確獲取同意的方式、時間，并留存相應記錄；進行隱私影響評估。
2.廣告營銷
在未事先征得個人信息主體同意的前提下，不會將個人信息用于廣告營銷。
3.處理義務
確定并記錄對個人信息主體所履行的法定義務和商業(yè)道德義務，并提供履行這些義務的方法；積極響應用戶的修改權、撤回同意權、拒絕權、刪除權、訪問權等個人信息權利并留存相應記錄。
4.默認的隱私保護
確保流程和系統(tǒng)的設計能夠使個人信息的收集和處理（包括使用、披露、存儲、傳輸和刪除）僅限于最小必要范圍，并留存相關記錄。
5.共享轉(zhuǎn)移
識別是否存在共享、轉(zhuǎn)移、披露、跨境傳輸個人信息的情形，并記錄具體行為。
6.合同約定
簽署的書面合同應約定個人信息保護的相關措施，例如操作權限控制、個人信息泄露報告等。
7.員工培訓
可訪問個人信息的員工應簽署保密協(xié)議，并參與隱私保護與數(shù)據(jù)安全培訓。
8.整體規(guī)劃
識別相關方的需求及期待，并明確管理體系的范圍；確定內(nèi)部的人員責任及相應的目標與規(guī)劃；明確具體的運行計劃和控制措施，評估并處置風險；內(nèi)部定期評審并持續(xù)完善管理體系。