ISO27701个人隐私信息安全管理体系认证经验

ISO27701个人隐私信息安全管理体系认证经验一、关于ISO27701的一些简单说明ISO27701ISO27001ISO27701ISO27001ISO27001ISO27701认证范围：认证范围不一定是现在公司的业务范围；比如电商公司，可以只认证系统的运维管理；认证范围也包括人数（员工数）与认证所需的费用，认证材料的编写，以及认证方审核内容的多少。（围越大、员工数越多，费用越高；认证范围会影响到此次认证公司所处的角到认证材料的编写；认证范围越大，认证审核内容就越多。）到认证证书，后面每年还有审核认证。二、公司参与ISO27701认证的原因ISO27701ISO27701公司高层要求，ISO27701ISO27701提升公司的个人隐私保护水平。ISO27701ISO27701三、认证规划BSIDNV（国内应该主要就是这两家）。项目立项：提前向认证方咨询清楚费用，规划好预算。认证材料的编写，建议购买咨询公司的服务（BSIDNV的服务），认证所涉及的材料很多，也不好写，而且咨询公司的服务一般是协助拿到认证，咨询公司的帮助对于拿到认证的作用很大。规划好拿证的时间，从正式开始认证，到证书发下来，至少需要一个月时间（当然可以催认证方）；正式开始认证前的准备时间，建议至少1到2个月以上，当然这可以依公司的规模和认证范围而变动。认证步骤：确定认证范围->认证材料文件（制度文档）编写完善->DPIA->不合规项整改->其它文件梳理->认证方审阅材料文件->认证培训->现场认证->（不符合项整改）->颁发证书 第二年、第三年审核认证。预算、合同的相关事情结合公司的实际情况，把握好进度，多和认证方的对接人沟通确认，有不清楚的就问。四、过程材料文件编写完善此处所说的材料文件是指参与审核所需的制度文件，包含隐私信息管理手册、隐私信息管理策略、标准适用性声明（SoA）、隐私信息连续性管理规评估管理规定等。的规定；如果时间不够，咨询公司会告诉你处置方法，此处不做介绍。文件。2.DPIADPIA主体权利、数据访问控制这几个大的角度展开，评估公司目前各系统的实际情况是否符合要求。DPIADPIADPIA，数据流图如果能展现在一张图里，当然最好，能够很清晰的展示公司数据的流转关系，也能让数据安全的同事更清晰的了解各应用系统。DPIADPIA不合规项整改果整改不完，就针对每一项不合规项列一个整改计划，并进行风险评级。证方要审查的项。其它文件个人信息清单资产清单隐私保护政策隐私保护培训记录供应商签署的数据处理协议个人信息泄露事件应急响应演练4.7PII（如果有的话公司收集参考的法律法规清单（包含海外）体系内审报告体系持续改进跟踪表体系内审计划体系管理评审报告有效性测量记录认证方审阅材料文件在正式开始现场审核之前，认证方一般会先远程查看隐私信息管理手册、人员进行沟通；线上审核、查看制度文件。议上，认证老师会列出初步审核出来的不符合项和待确认项。清单，安排接下来的现场审核内容。现场审核问到。认证培训协调时间，具体的访谈审核安排是可以调整的。部安排要参与审核。包括态度积极、不与审核老师起冲突以及一些应对技巧等等。现场认证2312审核（疫情或其它原因）。首先还是开始会议，大概半个小时的时间；前两天一般是现场的老师进行用系统的审核。文件审核，审核老师会一个一个查看文件，文件的重点内容，老师会一条针对文件提出的不符合点，在现场认证的那几天尽量改。对系统进行查看，核验是不是按照要求做了隐私保护措施。HR、PR、GR如果公司的办公地点是租赁的，老师可能会查看租赁合同（系的那一页就行）。审核老师会在审核过程中列出一些不符合项，并在结束会议的时候正式告知。当然，一般在最后一两天，现场审核的老师就会口头告知有没有不符合着认证不通过，还有个整改的步骤。不符合项整改有严重不符合或轻微不符合项，是要进行整改的，并将整改结果在一个月整改计划，当然下一年的审核，老师会审核这些整改项。来，如果没发，可以要一下。观察项也建议整改，并反馈，虽然审核老师没有强制要求反馈整改结果。颁发认证证书一般从现场审核完成到反馈整改结果，再到拿到证书，需要花费一个多月的时间，如果想要快点拿到证书，可以催认证方的接口人。第二、三年审核审核的过程基本一样。如果审核老师不是第一年参与审核的老师，可能审核的内容就会多一点。五、其它经验ISO27701（尤其是才刚入