ISO 27001/ISO 27701 | 信息/隱私安全管理體系如何做？

一起來了解信息安全管理體系這些知識你都知道了嗎？——

       據消息得知，近日攜程機票已經順利通過了審核認證，獲得了ISO/IEC 27701:2019隱私信息管理體系認證證書，成為中國境內首家通過ISO/IEC 27701認證的民航業企業。與此同時，攜程商旅在取得ISO/IEC 27001: 2022信息安全管理體系認證的基礎上，近日也同樣獲得了ISO/IEC 27701:2019隱私信息管理體系認證。

       ISO/IEC 27001 是國際標準化組織（ISO）和國際電工**（IEC）聯合發布的信息安全管理體系標準，在國際上具有權威性，并已經得到廣泛認可和應用，代表了信息安全管理的先進實踐。已經成為許多標準所依賴的支柱。因此，該標準在全球許多行業部門的數字服務和流程中得到了認可。在日益數字化的世界中，ISO 27000標準系列已經成為建立信任的關鍵推動因素。

      為保持其作為全球較佳實踐的權威地位，ISO/IEC27001在不斷更新，以反映組織日益提高的數字化、相關風險以及對安全控制分類和管理的改進。新版ISO/IEC 27001:2022已于2022年10月25日正式發布，新標準提供了更強大的信息安全控制，幫助組織解決日益復雜的安全風險及應對全球網絡安全挑戰，提高數字信任確保業務連續性。涉及信息安全時，不容有絲毫懈怠。保護個人記錄和商業敏感信息至關重要。也可以幫助企業采用穩健的方法來管理信息安全，塑造企業韌性。

● 減少您面對日益增長的網絡攻擊威脅的脆弱性

● 應對不斷變化的安全風險

● 確保財務報表、知識產權、員工數據和第三方委托的信息等資產完好無損、保密并根據需要提供

● 提供一個集中管理的框架，在一個位置保護所有信息

● 讓整個組織的人員、流程和技術做好準備，以應對基于技術的風險和其他威脅保護各種形式的信息，包括紙質、基于云的和數字數據

● 通過提高效率和減少無效國防技術的費用來節省資金

    ISO/IEC 27701--隱私信息安全管理體系，是對ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隱私擴展。于2019年8月6日，國際標準化組織ISO和國際電工**IEC正式對外發布。它是一項國際管理系統標準體系，為保護個人隱私提供指導，包括組織應如何管理個人信息，并協助證明遵守了世界各地的隱私法規。

1、增強對個人信息管理的信任

2、在利益相關方之間提供透明度

3、促進達成有效的業務協議

4、明確角色和責任

5、支持遵循隱私法規

6、通過與領先的信息安全標準ISO/IEC27001整合，降低復雜性

       適用于所有類型和規模的組織，包括公共和私營公司、政府實體以及非盈利組織。為在信息安全管理體系（ISMS）內負責個人可識別信息處理的組織提供了指引，具體包括：PII控制者（包括聯合PII控制者）、PII處理者。

Q & A

一、ISO 27701與各標準之間的關系是怎樣？

1、IS0 27701是ISO 27001和ISO 27002在隱私方面的擴展。

2、ISO 27002為ISO 27001提供風險處置具體的控制目標和控制措施。

3、ISO 29100、ISO 27018、ISO 29151均為隱私方面的標準，有不同的側重點，與ISO 27701互為補充。

4、ISO 27001幫助企業建立ISMS，通過有效的風險管理來保護和管理組織的所有信息，從數據安全方面滿足GDPR的部分要求。

5、ISO 27701加入了隱私保護的額外要求，更全面地覆蓋了GDPR的要求。

二、證書有效期？

有效期三年，每年需要進行一次年審。

三、ISO 27701認證需要先通過ISO 27001認證？

是的，需要以先通過ISO 27001認證為前提。