ISO27701隐私信息管理体系认证适用范围、法律法规及标准要求

一、ISO27701认证介绍

ISO27701是国际标准化组织公布的个人隐私信息管理体系标准，全名《安全技术—扩展ISO27001和ISOC27002的隐私信息管理—要求与指南》。该规范根据PII有关组织和利益相关方规定；确立个人隐私危害鉴定的规定；对于组织做为PII操纵者/PII解决者等组织人物角色，产生PIMS（个人隐私信息管理管理体系）。

二、ISO27701认证应用领域

该规范适合所有种类和体量的组织，包含公共性和民营公司、政府部门和非营利组织。

三、ISO27701认证体系规定

1、搜集和处理鉴别解决目地和处理的法律规定；确立获得允许的形式、时长，并留存相对应记录；开展个人隐私危害评定。

2、广告推广在没有事前征求个人信息行为主体允许前提下，不容易将个人信息用以广告推广。

3、解决责任明确并记录对个人信息行为主体所履行的法律义务和商业伦理责任，同时提供执行这种义务的方式；大力支持客户的修改权、撤销同意权、回绝权、删掉权、浏览权等个人信息支配权并留存相对应记录。

4、默认个人隐私保护保证流程及系统软件设计可以使个人信息的收集正确处理（包含应用、公布、储存、传送和删掉）仅限最少必需范畴，并留存有关记录。

5、共享迁移鉴别存不存在共享、迁移、公布、跨境电商传送个人信息的情况，并记录实际个人行为。

6、合同规定签订的书面协议应承诺个人信息维护的有关对策，比如操作权限操纵、个人信息泄漏汇报等。

7、员工技能培训可浏览个人信息的职工应签订保密协议书，并参加个人隐私保护与网络信息安全学习培训。

8、总体规划鉴别利益相关方的需要及希望，进一步明确体系管理的范畴；明确的内部工作人员义务及相关的目标与规划；确立实际的运转规划和控制方法，评定并处理风险性；内部结构按时审查并继续完善管理体系。