ISO29151:201
ISO 29151是关于处理个人可识别信息(Personally IdentifiableInformation,PII)的控制措施和指南,以满足与保护PII有关的风险评估和隐私影响评估所确定的要求。
ISO 29151基于ISO 27002《信息技术-安全技术-信息安全控制实践规则》和ISO/IEC 29100:2011等相关安全标准提供一系列信息安全和PII保护控制的指南,并指导组织根据风险分析的结果来选择与PII特定处理匹配的控制措施,以制定全面、一致的控制系统,减少隐私泄露风险并减少违规。
ISO 29151侧重于隐私技术,涵盖26个控制域,181条控制措施,规范了个人信息收集、存储、处理、使用和披露等各个环节中数据操作的相关行为,为企业保障个人隐私安全、控制合规风险提供指导。它适用于任何对隐私保护有需求的组织,对开展个人身份信息保护提供了一个广泛的指南。
ISO 29151标准帮助组织确保在处理个人信息时遵守适用的隐私法律和法规,并保护个人信息的安全和隐私。其适用于各种类型的组织,包括企业、政府机构、非营利组织等。无论其规模大小和所属行业,都可以采用该标准来指导和保护个人信息的处理。
认证流程
管理体系相关认证的流程基本一致,企业申请时不需要特别记录。流程一般包括:提交申请、签订合
同和交预付款;初审(第一阶段审核/文件审查,第二阶段审核/现场审核);认证决定;结算费用,注
册发证;每年的监督审核(次数略有不同);证书期满后的再认证等环节。
受理条件
组织(企业)申请认证须具备以下基本条件:
(1) 具备独立的法人资格或经独立的法人授权的组织。
(2) 按照ISO 29151标准的要求建立文件化的个人可识别信息保护管理体系。
(3) 已经按照文件化的体系运行三个月以上,并在进行认证审核前按照文件的要求进行了至少一次管理评审和内部个人可识别信息保护体系审核。
认证范围
ISO 29151个人可识别信息保护管理体系适用于各行各业,且不限制企业的规模大小。
资料清单
需提供以下必要的申请信息:
1、申请认证的组织名称;
2、认证类型;
3、认证依据;
4、体系覆盖的人数;
5、根据业务、组织、位置、资产和技术等方面的特性所确定的PIIPMS的范围和边界,包括对任何范
围、删减的详细说明和正当性理由;
6、经营场所、分场所、临时场所以及各场所从事的活动等;
7、服务器数量、终端数量、用户的数量;
8、适用性声明、资产列表;
9、保密协议、信息安全敏感区域的声明;
申请组织还提供以下资料:
1、法人资格证明
2、取得相关法规规定的行政许可文件(适用时);
3、满足工信部联(2010)394号文《关于加强信息安全管理体系安全管理的通知》以及有关主管部
门/监管部门对信息安全管理体系认证的管理要求的证据;
4、手册及相关体系文件;
5、支持PIIPMS的规程和控制措施、风险评估方法的描述、风险评估报告、风险处置计划、组织为确
保其信息安全过程的有效规范/运行和控制以及描述如何测量控制措施的有效性的文件。
认证报价
认证的费用包括申请费、评审费、审核员的差旅和食宿费、证书费等。
具体报价多少要看评审工作的复杂程度等因素进行核算。如:初评、监督、复评与扩大认可领域、扩
大业务领域、扩大业务范围和增加关键场所的文件审查、现场评审、见证评审、不符合验证等评审活
动所发生的费用等。
证书样本
ISO29151
