方圆盛世服务项目
图片

政府项目申报


图片

高新认定


图片

资质认证



ISO/IEC 29151 个人身份信息保护管理体系完整办理指南

标准依据:ISO/IEC 29151:2017(PII个人可识别信息保护实践指南),侧重全生命周期个人信息技术管控,适配《个人信息保护法》、GDPR合规投标使用。

 

 

一、硬性办理前置条件

1. 主体资质

1. 独立法人营业执照,经营正常、无严重失信、无经营异常;

2. 业务实际收集、存储、使用、传输、共享个人身份信息(姓名、手机号、身份证、人脸、住址、健康、金融信息等);

3. 行业配套许可(按需):APP/互联网业务需ICP、网络安全备案;医疗、金融持对应行业资质;

4. 近12个月无重大数据泄露、无网信/市监重大行政处罚、无隐私投诉群体性事件。

 

2. 体系核心门槛(取证强制要求)

1. 建议配套ISO27001信息安全体系:29151基于信息安全框架延伸隐私控制,多数认证机构要求同步搭建27001基础体系,联合审核更易通过;

2. 体系文件发布后连续真实运行满3个月,完整留存数据处理全流程记录,不接受临时补台账;

3. 完成1次全覆盖内部审核(覆盖所有业务、数据系统、部门)+ 总经理主持管理评审1次,所有不符合项闭环整改;

4. 必须完成隐私影响评估PIA、个人信息风险评估,出具专项风险报告与处置方案;

5. 人员要求:数据负责人、运维、产品、客服完成隐私保护专项培训,留存签到、考核记录。

 

3. 体系文件必备(三级文件)

1. 一级手册:PII保护管理手册、隐私方针、数据保护目标、体系范围;

2. 二级程序文件(核心):

    个人信息收集同意管理、数据脱敏/加密、访问权限管控、第三方数据共享、数据出境、数据泄露应急、用户行权(删除/更正/撤回授权)、供应商数据管控、隐私风险评估、内审管理评审;

3. 三级SOP+表单:隐私政策模板、用户授权记录、访问日志、数据备份记录、泄露演练报告、PIA评估报告、供应商数据安全协议、内审检查表、整改单。

 

 

 

更多资质办理详情可直接在线与方圆盛世客服联系,或电话咨询官方热线:400-090-3278

 

 

 

 

二、全套申报材料清单

1. 基础证照:营业执照、法人身份证、ICP/网安备案、行业经营许可;

2. 组织架构、数据处理流程图、存储服务器/数据库清单;

3. 全套体系文件(手册、程序、SOP、适用性声明SOA);

4. 3个月连续运行证据:

    用户授权回执、数据访问日志、脱敏操作记录、第三方数据合作协议、隐私培训记录、机房/系统巡检、数据备份台账;

5. 专项合规材料:隐私影响评估PIA报告、数据风险评估与处置计划、数据泄露应急演练记录;

6. 内审全套资料(计划、检查表、内审报告、整改闭环)、管理评审全套资料;

7. 法律法规清单(个保法、网安法、GDPR等)、合规性评价记录。

 

 

三、完整6步办理流程

阶段1:选CNCA备案认证机构

1. 机构要求:国家认监委备案,具备信息安全/隐私体系审核资质;

2. 两种模式:

    自主办理:企业自有信息安全团队,自行编写文件、风险评估,仅付认证审核费;

    咨询全包(主流):咨询方完成现状诊断、文件编写、PIA评估、内审辅导、陪同现场审核,通过率更高;

3. 锁定认证范围(APP运营、客户数据运维、电商、医疗、金融等)。

 

阶段2:搭建隐私保护体系

1. 差距分析,对照ISO29151 26大控制域、181项控制措施补全流程;

2. 编写隐私全套文件,完成隐私影响评估PIA、数据风险分级;

3. 落地技术管控:数据脱敏、加密、权限最小化、操作日志留存、泄露应急预案;

4. 文件发布,全公司落地执行,启动3个月试运行。

 

阶段3:3个月试运行+内审+管理评审

1. 完整留存用户授权、数据处理、访问、共享、应急全流程台账;

2. 内审全覆盖核查数据全生命周期环节,问题全部整改闭环;

3. 总经理组织管理评审,复盘隐私风险、客诉、数据安全事件、法规更新,输出改进计划。

 

阶段4:提交认证申请、机构初审

提交全部资质、体系文件、内审管评、PIA报告;机构核验运行时长、数据业务真实性,下发受理通知。

 

阶段5:两阶段现场审核

1. 一阶段(文件审核,0.5~1天,远程/现场)

    核查手册、PIA风险评估、隐私流程、内审管评是否符合标准,出具文件整改项,整改完成才可进入二阶段;

    规则:一、二阶段间隔不少于5个自然日。

2. 二阶段(现场全面审核,1~3天)

    现场核查内容:

    业务:APP/系统隐私弹窗、用户授权、行权通道(注销/删数据);

    技术:数据库加密、脱敏、操作日志、服务器权限、备份恢复;

    管理:第三方供应商数据协议、员工隐私培训、泄露演练记录;

    合规:个保法落地、跨境数据管控、隐私投诉闭环;

3. 末次会议开具一般/严重不符合项,企业7~30天提交整改证据,审核员验证闭环;严重不符合需二次现场复核,拉长周期。

 

阶段6:认证评审、发证、证后维护

1. 整改全部验证通过,机构技术委员会终审,颁发带CNCA标识ISO29151证书,认监委官网可查询;

2. 证书有效期3年:

    第1、2年:每年1次监督审核(抽查数据流程、日志、PIA更新);逾期未审证书暂停;

    到期前3个月启动再认证,重新完整审核换发新证。

 

 

 

、高频审核踩坑点

1. 体系运行不足3个月,数据日志、授权记录事后补做;

2. 未做隐私影响评估PIA、无完整数据风险报告;

3. 用户无清晰授权,不支持注销、删除个人信息等行权需求;

4. 第三方合作方无数据保密协议,未定期审计供应商;

5. 无数据泄露应急预案、从未开展泄露演练;

6. 数据明文存储,无脱敏、加密、访问日志管控;

7. 缺失内审/管理评审,整改无闭环;

8. 未同步更新隐私政策,不符合《个人信息保护法》最新要求。

 

 

、适用行业

互联网APP、电商、SaaS软件、IT外包、金融保险、医疗体检、教育培训、人力资源、政务服务商、跨境贸易、物业、零售(所有收集手机号、身份证、人脸、家庭信息企业)。

上一篇:iso20000信息技术服务管理体系认证办理条件审核周期
下一篇: