ISO/IEC 29151个人数据隐私保护管理体系认证
个人数据隐私保护管理体系认证是依据国际标准(ISO/IEC 29151)或国内规范,对组织处理个人可识别信息(PII)的全流程管理能力进行系统性验证的第三方认证,覆盖信息收集、存储、传输、使用、共享及销毁等环节。
ISO 29151的全称为“ISO/IEC 29151:2017个人数据隐私保护管理体系认证”,是ISO标准会于2017年发布的一项国际标准,旨在组织实现隐私安全。该标准描述了个人识别信息(PII)安全控制措施和风险处理指南。
ISO 29151和ISO 27002之间有什么相同点和不同点?
ISO 29151的主体在27002的各个控制域中增加了PII的实施指南;ISO 29151的介绍了ISO/IEC 29100中的11项隐私保护原则,为组织制定了实用且有针对性的PII保护措施。因此,信息安全管理体系的建设和实施是PII保护的基础和前提。组织要想通过ISO 29151认证,必须先通过信息安全管理体系认证。
个人数据隐私保护管理体系认证为国际标准化组织(ISO)发布的全球普遍认可、具有国际性的隐私信息管理体系认证标准,个人数据隐私保护管理体系认证为针对云计算环境下信息安全控制实施指南类的国际标准。
适用企业
ISO 29151强调了个人数据隐私保护的重要性,随着数据安全与个人隐私保护的法律的健全,当敏感信息泄露时责任单位所面临的除了自身名誉、客户、资金的损失外,还可能面对数据泄露后所负的刑事责任和赔偿责任。
以下企业适合做此类认证
以信息为生命线的行业:
1、金融行业:银行、保险、证券、基金、期货等;
2、通信行业:电信、网通、移动、联通等;
3、皮包公司:外贸、进出口、HR、猎头、会计师事务所等。
对信息技术依赖度高的行业:
1、钢铁、半导体、物流;
2、电力、能源;
3、外包(ITO或BPO):IT、软件、电信IDC、呼叫中心、数据录入,数据处理加工等。
工艺技术要求高、竞争对手渴望得到的:
1、医药、精细化工;
2、研究机构。
信任构建:获取客户信赖,市场溢价空间达15%-20%(ESG评分权重18%);
风险管控:数据泄露风险降低63%,合规争议减少40%;
竞争力:72%政府采购项目要求认证资质,成头部企业供应链准入加分项。
1.企业需持有工商行政管理部门颁发的《企业法人营业执照》等有效资质文件;
2.申请方应按照国际有效标准(ISO/IEC 29151:2017)的要求在组织内建立管理体系,并实施运行至少3个月以上;
3.至少完成一次内部审核,并进行了有效的管理评审;
4.管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
