ISO/IEC29151:2017认证是国际通行的个人身份信息保护指南,涵盖26个控制域,181条控制措施,充分控制个人身份信息(PII)相关的风险,适用于任何对隐私保护有需求的组织,对开展个人身份信息保护提供了一个广泛的指南。ISO/IEC 29151是国际标准化组织和国际电工委员会共同发布的关于处理个人可识别信息(Personally Identifiable Information,PII)的控制措施和指南,以满足与保护 PII 有关的风险评估和隐私影响评估所确定的要求。该标准基于ISO/IEC 27002的基本结构,将ISO/IEC 29100中的隐私原则予以对应,形成实用且针对性强的PII保护措施,供组织使用。ISO 29151是个人信息保护的行为准则、是个人身份信息保护的实践指南,侧重于隐私技术。它主要是基于ISO 27002的各个域中加入了PII的实施指南,并引入了ISO 29100十一个隐私保护原则。
IS0/IEC 27701是IS0/IEC 27001和IS0/IEC 27002在隐私方面的扩展,并为隐私保护提供了除IS0/IEC 27001和IS0/IEC 27002之外的额外指导。标准通过第5章和第6章将IS0/IEC 27002与附加的PIMS控制项通过IS0/IEC 27001中PDCA的方式导入体系,形成完整的信息安全和隐私管理体系。第7章和第8章从数据生命周期的角度新增分别针对PII控制者和处理者的控制要求。
IS0/IEC 27701是IS0/IEC 27001和IS0/IEC 27002的延伸,侧重于隐私信息安全管理。IS0/IEC 27701分别对个人可识别信息控制者和个人可识别信息处理者进行规范和指导并基于IS0/IEC 27001和IS0/IEC 27002的各个领域,从管理体系的角度并遵循PDCA的理念。
IS0/IEC 27701是基于IS0/IEC 27001信息安全管理体系标准族,适用于所有类型和规模的组织,包括公共和私营公司、政府机构和非盈利组织,他们是在ISMS中处理PII的控制者或处理者。IS0/IEC 29151:2017是基于IS0/IEC 29100信息技术-安全技术-保密框架标准族,适用于所有类型和规模的作为PII控制者的组织,包括处理PII的公共和私营公司、政府机构和非盈利组织。
1、申报企业主体需具有合法的法律地位,能提供如营业执照等有效的法律地位证明文件;申报企业没有受到工商行政处罚,或所受行政处罚已全部执行完毕并提供有效证据。
2、申报企业有固定的办公场地和与申报类别匹配的业务,能接受认证机构现场评审。
3、企业已经建立ISO29151体系并至少运行三个月,并进行了有效的内部评审和管理评审;企业能提供适应的管理体系管理手册、程序文件、适用性声明、敏感信息声明等。
