在大数据时代,我们的个人信息不断被收集和使用,面对频发的数据泄露事件,面对越来越严格的监管趋势和众多且复杂的法律法规,企业如何有效的管理和保护客户及用户的信息安全?
01、什么是个人可识别信息保护管理体系认证?
ISO/IEC 29151:2017是由国际标准化组织(ISO)和国际电工委员会(IEC)共同发布的个人可识别信息(Personally Identifiable Information, PII)保护标准。该认证提供了一套全面的控制目标和实施指南,旨在帮助组织控制与个人身份信息相关的风险。
该标准基于ISO/IEC 27002信息安全控制实践规则,并引入了ISO/IEC 29100的隐私保护原则,为组织处理个人身份信息(包括收集、存储、使用、传输、共享和销毁等环节)提供了国际通行的最佳实践指南。
02、为什么企业需要ISO 29151认证?
1. 增强客户信任,提升品牌价值
ISO 29151认证能够成为企业品牌的重要资产,帮助企业有效增强客户信任,获得潜在业务机会。
2. 满足隐私法规要求
企业面临越来越严格的监管环境,ISO 29151认证能够证实组织对其产品和服务目标市场所在地隐私法规的遵从,获得所在地的市场准入;
3. 降低数据泄露风险
该认证提供了系统的风险管理框架,帮助组织减少隐私泄露风险和违规可能。通过实施标准中的控制措施,企业能够有效防止个人身份信息被故意或意外地非授权泄露、篡改或破坏。
4. 提升内部管理能力
实施ISO 29151标准能够强化员工的信息安全意识,规范组织的信息安全行为,减少人为原因造成的不必要损失,同时提高组织在隐私信息管理方面的能力和成熟度。
更多证书办理详情可直接与在线客服联系
03、哪些企业需要这项认证?
ISO 29151:2017适用于所有类型和规模的作为PII控制者的组织,包括公有和私营公司、政府机构和非营利组织。特别适用以下行业:
以信息为生命线的行业:银行、保险、证券、电信、互联网等;
高度依赖信息技术的行业:钢铁、半导体、物流、电力能源等;
云服务提供商:SaaS服务商、数据中心等(可结合ISO 27018认证);
技术要求高的行业:医药、精细化工、研究机构等;
处理大量个人信息的组织:医院、学校、电商平台等。
04、认证申请需要满足什么条件?
认证申请组织应具备以下条件:
1)取得国家市场监督管理部门或有关机构注册登记的法人资格(或其组成部分);
2)已取得相关法规规定的行政许可(适用时);
3)提供的产品或服务符合中华人民共和国相关法律法规要求;
4)建立和实施了个人可识别信息保护管理体系,且有效运行3个月以上;
5)近一年内,未发生重大信息安全事故,未违反国家信息安全管理相关法规,或未因负面情况而被其他相关认证机构撤销个人可识别信息保护管理体系认证证书。
05、认证申请需要提交哪些材料?
认证申请组织应提交的文件和资料:
1)组织基本信息以及申请认证的活动、产品和服务的范围信息(申请书);
2)营业执照复印件;
3)有关法规规定的行政许可文件证明文件(适用时);
4)依据ISO 29151标准建立的体系文件(一级和二级文件,至少包含SOA文件和程序文件),体系建立后至少运行3个月以上;
5)内部审核和管理评审的证明文件;
6)支持PIIPMS的规程和控制措施、风险评估方法的描述、风险评估报告、风险处置计划、组织为确保其信息安全过程的有效规范/运行和控制以及描述如何测量控制措施的有效性的文件;
7)适用的法律法规清单。