ISO 27001/ISO 27701 | 信息/隐私安全管理体系如何做？

一起来了解信息安全管理体系这些知识你都知道了吗？——

       据消息得知，近日携程机票已经顺利通过了审核认证，获得了ISO/IEC 27701:2019隐私信息管理体系认证证书，成为中国境内首家通过ISO/IEC 27701认证的民航业企业。与此同时，携程商旅在取得ISO/IEC 27001: 2022信息安全管理体系认证的基础上，近日也同样获得了ISO/IEC 27701:2019隐私信息管理体系认证。

       ISO/IEC 27001 是国际标准化组织（ISO）和国际电工**（IEC）联合发布的信息安全管理体系标准，在国际上具有权威性，并已经得到广泛认可和应用，代表了信息安全管理的先进实践。已经成为许多标准所依赖的支柱。因此，该标准在全球许多行业部门的数字服务和流程中得到了认可。在日益数字化的世界中，ISO 27000标准系列已经成为建立信任的关键推动因素。

      为保持其作为全球较佳实践的权威地位，ISO/IEC27001在不断更新，以反映组织日益提高的数字化、相关风险以及对安全控制分类和管理的改进。新版ISO/IEC 27001:2022已于2022年10月25日正式发布，新标准提供了更强大的信息安全控制，帮助组织解决日益复杂的安全风险及应对全球网络安全挑战，提高数字信任确保业务连续性。涉及信息安全时，不容有丝毫懈怠。保护个人记录和商业敏感信息至关重要。也可以帮助企业采用稳健的方法来管理信息安全，塑造企业韧性。

● 减少您面对日益增长的网络攻击威胁的脆弱性

● 应对不断变化的安全风险

● 确保财务报表、知识产权、员工数据和第三方委托的信息等资产完好无损、保密并根据需要提供

● 提供一个集中管理的框架，在一个位置保护所有信息

● 让整个组织的人员、流程和技术做好准备，以应对基于技术的风险和其他威胁保护各种形式的信息，包括纸质、基于云的和数字数据

● 通过提高效率和减少无效国防技术的费用来节省资金

    ISO/IEC 27701--隐私信息安全管理体系，是对ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隐私扩展。于2019年8月6日，国际标准化组织ISO和国际电工**IEC正式对外发布。它是一项国际管理系统标准体系，为保护个人隐私提供指导，包括组织应如何管理个人信息，并协助证明遵守了世界各地的隐私法规。

1、增强对个人信息管理的信任

2、在利益相关方之间提供透明度

3、促进达成有效的业务协议

4、明确角色和责任

5、支持遵循隐私法规

6、通过与领先的信息安全标准ISO/IEC27001整合，降低复杂性

       适用于所有类型和规模的组织，包括公共和私营公司、政府实体以及非盈利组织。为在信息安全管理体系（ISMS）内负责个人可识别信息处理的组织提供了指引，具体包括：PII控制者（包括联合PII控制者）、PII处理者。

Q & A

一、ISO 27701与各标准之间的关系是怎样？

1、IS0 27701是ISO 27001和ISO 27002在隐私方面的扩展。

2、ISO 27002为ISO 27001提供风险处置具体的控制目标和控制措施。

3、ISO 29100、ISO 27018、ISO 29151均为隐私方面的标准，有不同的侧重点，与ISO 27701互为补充。

4、ISO 27001帮助企业建立ISMS，通过有效的风险管理来保护和管理组织的所有信息，从数据安全方面满足GDPR的部分要求。

5、ISO 27701加入了隐私保护的额外要求，更全面地覆盖了GDPR的要求。

二、证书有效期？

有效期三年，每年需要进行一次年审。

三、ISO 27701认证需要先通过ISO 27001认证？

是的，需要以先通过ISO 27001认证为前提。