體系認(rèn)證:企業(yè)必備資質(zhì)
管理體系是從質(zhì)量管理的概念發(fā)展起來(lái)的,并傳承了質(zhì)量管理的精華。過(guò)程方法、PDCA循環(huán),風(fēng)險(xiǎn)思維等管理理念在管理體系中得到了充分體現(xiàn)。一個(gè)組織針對(duì)某個(gè)特定領(lǐng)域管理的深度和廣度,會(huì)依據(jù)自身的需求來(lái)確定。當(dāng)需要對(duì)一個(gè)特定領(lǐng)域?qū)嵤┫到y(tǒng)化管理時(shí),組織若按照一個(gè)特定管理體系標(biāo)準(zhǔn)的要求實(shí)施管理,這無(wú)疑是一種全面、有效和高效的選擇。
體系認(rèn)證
- 知識(shí)產(chǎn)權(quán)合規(guī)管理體系
- 能源管理體系
- 信息安全管理體系
- 職業(yè)健康安全管理體系
- 食品安全管理體系
- 社會(huì)責(zé)任管理體系(SA8000)
- 醫(yī)療器械質(zhì)量管理體系
- 信息技術(shù)服務(wù)管理體系
- 環(huán)境管理體系
- 質(zhì)量管理體系
- HACCP管理體系
- 業(yè)務(wù)連續(xù)性管理體系
- HSE管理體系
- 供應(yīng)鏈安全管理體系
- 道路汽車網(wǎng)絡(luò)安全管理體系
- 合規(guī)管理體系
- 反賄賂管理體系
- 資產(chǎn)管理體系
- 企業(yè)誠(chéng)信管理體系
- 隱私信息管理體系
- 云服務(wù)信息安全管理體系
- 公有云中個(gè)人可識(shí)別信息保護(hù)管理體系
- 個(gè)人可識(shí)別信息保護(hù)管理體系
個(gè)人可識(shí)別信息保護(hù)管理體系
ISO 29151是關(guān)于處理個(gè)人可識(shí)別信息(Personally IdentifiableInformation,PII)的控制措施和指南,以滿足與保護(hù)PII有關(guān)的風(fēng)險(xiǎn)評(píng)估和隱私影響評(píng)估所確定的要求。
ISO 29151基于ISO 27002《信息技術(shù)-安全技術(shù)-信息安全控制實(shí)踐規(guī)則》和ISO/IEC 29100:2011等相關(guān)安全標(biāo)準(zhǔn)提供一系列信息安全和PII保護(hù)控制的指南,并指導(dǎo)組織根據(jù)風(fēng)險(xiǎn)分析的結(jié)果來(lái)選擇與PII特定處理匹配的控制措施,以制定全面、一致的控制系統(tǒng),減少隱私泄露風(fēng)險(xiǎn)并減少違規(guī)。
ISO 29151側(cè)重于隱私技術(shù),涵蓋26個(gè)控制域,181條控制措施,規(guī)范了個(gè)人信息收集、存儲(chǔ)、處理、使用和披露等各個(gè)環(huán)節(jié)中數(shù)據(jù)操作的相關(guān)行為,為企業(yè)保障個(gè)人隱私安全、控制合規(guī)風(fēng)險(xiǎn)提供指導(dǎo)。它適用于任何對(duì)隱私保護(hù)有需求的組織,對(duì)開展個(gè)人身份信息保護(hù)提供了一個(gè)廣泛的指南。
ISO 29151標(biāo)準(zhǔn)幫助組織確保在處理個(gè)人信息時(shí)遵守適用的隱私法律和法規(guī),并保護(hù)個(gè)人信息的安全和隱私。其適用于各種類型的組織,包括企業(yè)、政府機(jī)構(gòu)、非營(yíng)利組織等。無(wú)論其規(guī)模大小和所屬行業(yè),都可以采用該標(biāo)準(zhǔn)來(lái)指導(dǎo)和保護(hù)個(gè)人信息的處理。
認(rèn)證好處
企業(yè)有效的信息安全管控及個(gè)人可識(shí)別信息保護(hù)處理,是為客戶及用戶帶來(lái)信任和提升品牌價(jià)值的方法和策略。通過(guò) ISO/IEC 29151認(rèn)證,意味著企業(yè)已經(jīng)具備適當(dāng)?shù)男畔踩刂颇芰?,高?biāo)準(zhǔn)的隱私保護(hù)控制。好處包括但不限于以下方面:
1、獲取客戶關(guān)于組織對(duì)個(gè)人可識(shí)別信息保護(hù)管理方面的信任,以獲得潛在業(yè)務(wù);
2、證實(shí)組織對(duì)其產(chǎn)品和服務(wù)目標(biāo)市場(chǎng)所在地隱私法規(guī)的遵從,獲得所在地的市場(chǎng)準(zhǔn)入;
3、組織自身為證實(shí)其在個(gè)人可識(shí)別信息保護(hù)管理方面的能力和符合性;
4、向相關(guān)方證實(shí)其在個(gè)人可識(shí)別信息保護(hù)管理方面的能力和符合性。
資料清單
需提供以下必要的申請(qǐng)信息:
(1)申請(qǐng)認(rèn)證的組織名稱;
(2)認(rèn)證類型;
(3)認(rèn)證依據(jù);
(4)體系覆蓋的人數(shù);
(5)根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性所確定的PIIPMS的范圍和邊界,包括對(duì)任何范圍、刪減的詳細(xì)說(shuō)明和正當(dāng)性理由;
(6)經(jīng)營(yíng)場(chǎng)所、分場(chǎng)所、臨時(shí)場(chǎng)所以及各場(chǎng)所從事的活動(dòng)等;
(7)服務(wù)器數(shù)量、終端數(shù)量、用戶的數(shù)量;
(8)適用性聲明、資產(chǎn)列表;
(9)保密協(xié)議、信息安全敏感區(qū)域的聲明;
申請(qǐng)組織還提供以下資料:
(1)法人資格證明
(2)取得相關(guān)法規(guī)規(guī)定的行政許可文件(適用時(shí));
(3)滿足工信部聯(lián)(2010)394號(hào)文《關(guān)于加強(qiáng)信息安全管理體系安全管理的通知》以及有關(guān)主管部門/監(jiān)管部門對(duì)信息安全管理體系認(rèn)證的管理要求的證據(jù);
(4)手冊(cè)及相關(guān)體系文件;
(5)支持PIIPMS的規(guī)程和控制措施、風(fēng)險(xiǎn)評(píng)估方法的描述、風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處置計(jì)劃、組織為確保其信息安全過(guò)程的有效規(guī)范/運(yùn)行和控制以及描述如何測(cè)量控制措施的有效性的文件。