嘉冠,一站式企业认证服务平台!
热门搜索: ISO9001 ISO14001 ISO27001 CMMI

体系认证

ISO9001 ISO14001 ISO45001

产品认证

热门认证 CCC认证 CQC认证

资质认证

ITSS 安防资质 涉密资质

项目申报

两化融合 创新型企业 知识产权

管理培训

五大工具 TPM 质量管理

隐私信息管理体系解析

2022-09-30 02:34:41

各国立法也非常关注隐私信息,如我国2021年11月1日实施《中华人民共和国个人信息保护法》,欧盟2018年5月25日实施《通用数据保护规范》(GDPR)等。隐私信息相关的安全标准被应用较广的有GB/T 35273-2020《信息安全技术 个人信息安全规范》、ISO/IEC 27701:2019《安全技术 扩展 ISO/IEC 27001 和 ISO/IEC 27002 的隐私信息管理要求与指南》、ISO/IEC 27018:2019《信息技术 安全技术 作为PII处理者的公共云中个人可识别信息(PII)保护实施规则》等。


ISO27018-1



目前,建立PIMS是很多组织已经采纳的解决方案,同时也取得了比较好的效果。隐私信息管理体系建立在信息安全管理体系(ISMS)(ISO/IEC 27001)基础之上,已经建立ISMS的组织需要在ISMS基础上进行完善,增加ISO/IEC 27018:2019等特定要求。没有建立ISMS的组织需要依据ISO/IEC 27001和ISO/IEC 27701建立ISMS和PIMS。

ISO/IEC 27018:2019中隐私信息管理的特定要求包括PII控制者控制措施PII处理者控制措施。组织应该首先判断是哪个角色,根据判断结果实施相关的控制措施。


微信图片_20220930141938


PII控制者控制措施和PII处理者控制措施均包括收集和处理条件、对 PII 主体的义务、PII流程和系统的设计、PII 共享传输和披露四个部分。

1、收集和处理条件部分关注隐私信息收集和处理是否合法,具有适用司法管辖区的法律依据,并具有明确定义和合法的目的。

2、 PII 主体的义务部分关注向PII主体提供PII处理的适当信息,并履行对 PII 主体的任何与处理其 PII 相关的适用义务。

3、PII流程和系统的设计部分关注PII管理流程和系统的设计,使收集和处理(包括使用、披露、保留、传输和处置)仅限于为确定的目的所必需的。

4、PII 共享传输和披露部分关注是否共享PII、是否传输到其他司法管辖区或第三方,根据适用义务披露并记录。

 组织不仅需要建立隐私信息管理的流程,同时需要设计和改进相关系统以满足技术要求。组织宜及时建立隐私信息管理体系,并确保隐私信息管理措施的落地,才能有效的保障隐私信息的安全性,以满足合规及客户的安全要求,从而保障业务的连续性。

上一篇: DCMM贯标评估介绍
下一篇: 暂无

相关资讯

最新资讯

在线客服 客服软件
在线客服系统