体系认证:企业必备资质
管理体系是从质量管理的概念发展起来的,并传承了质量管理的精华。过程方法、PDCA循环,风险思维等管理理念在管理体系中得到了充分体现。一个组织针对某个特定领域管理的深度和广度,会依据自身的需求来确定。当需要对一个特定领域实施系统化管理时,组织若按照一个特定管理体系标准的要求实施管理,这无疑是一种全面、有效和高效的选择。
体系认证
个人可识别信息保护管理体系
ISO 29151是关于处理个人可识别信息(Personally IdentifiableInformation,PII)的控制措施和指南,以满足与保护PII有关的风险评估和隐私影响评估所确定的要求。
ISO 29151基于ISO 27002《信息技术-安全技术-信息安全控制实践规则》和ISO/IEC 29100:2011等相关安全标准提供一系列信息安全和PII保护控制的指南,并指导组织根据风险分析的结果来选择与PII特定处理匹配的控制措施,以制定全面、一致的控制系统,减少隐私泄露风险并减少违规。
ISO 29151侧重于隐私技术,涵盖26个控制域,181条控制措施,规范了个人信息收集、存储、处理、使用和披露等各个环节中数据操作的相关行为,为企业保障个人隐私安全、控制合规风险提供指导。它适用于任何对隐私保护有需求的组织,对开展个人身份信息保护提供了一个广泛的指南。
ISO 29151标准帮助组织确保在处理个人信息时遵守适用的隐私法律和法规,并保护个人信息的安全和隐私。其适用于各种类型的组织,包括企业、政府机构、非营利组织等。无论其规模大小和所属行业,都可以采用该标准来指导和保护个人信息的处理。
认证好处
企业有效的信息安全管控及个人可识别信息保护处理,是为客户及用户带来信任和提升品牌价值的方法和策略。通过 ISO/IEC 29151认证,意味着企业已经具备适当的信息安全控制能力,高标准的隐私保护控制。好处包括但不限于以下方面:
1、获取客户关于组织对个人可识别信息保护管理方面的信任,以获得潜在业务;
2、证实组织对其产品和服务目标市场所在地隐私法规的遵从,获得所在地的市场准入;
3、组织自身为证实其在个人可识别信息保护管理方面的能力和符合性;
4、向相关方证实其在个人可识别信息保护管理方面的能力和符合性。
资料清单
需提供以下必要的申请信息:
(1)申请认证的组织名称;
(2)认证类型;
(3)认证依据;
(4)体系覆盖的人数;
(5)根据业务、组织、位置、资产和技术等方面的特性所确定的PIIPMS的范围和边界,包括对任何范围、删减的详细说明和正当性理由;
(6)经营场所、分场所、临时场所以及各场所从事的活动等;
(7)服务器数量、终端数量、用户的数量;
(8)适用性声明、资产列表;
(9)保密协议、信息安全敏感区域的声明;
申请组织还提供以下资料:
(1)法人资格证明
(2)取得相关法规规定的行政许可文件(适用时);
(3)满足工信部联(2010)394号文《关于加强信息安全管理体系安全管理的通知》以及有关主管部门/监管部门对信息安全管理体系认证的管理要求的证据;
(4)手册及相关体系文件;
(5)支持PIIPMS的规程和控制措施、风险评估方法的描述、风险评估报告、风险处置计划、组织为确保其信息安全过程的有效规范/运行和控制以及描述如何测量控制措施的有效性的文件。
证书样本
行业新闻
- 2021-07-15 一文读懂ISO/IEC 29151:2017个人可识别信息保护管理体系
京公网安备 11010202009534号
