ISO27701个人隐私信息安全管理体系 认证经验 – 作者:mingming10

ISO27701个人隐私信息安全管理体系认证经验分享:

一、关于ISO27701的一些简单说明

1.ISO27701和ISO27001的关系:参与ISO27701认证,不一定要先拿到ISO27001的认证;但这儿涉及到一个认证范围的问题,在先拿到ISO27001的认证后,认证方一般会默认把ISO27001的认证范围当做ISO27701的认证范围,并以此来判断认证费用和参与认证。当然,一般认证老师会在查看认证材料的时候和参与认证的公司沟通,确认认证范围。但是,因为这个时间点离正式开始认证的时间已经比较接近了,如果认证范围出现问题,就会涉及到预算、合同及认证材料等要重新规划编写的问题,还是比较麻烦的。所以要提前沟通好。

2.认证范围:认证范围不一定是现在公司的业务范围;比如电商公司,可以只认证系统的运维管理;认证范围也包括人数(员工数)。认证范围会影响到参与认证所需的费用,认证材料的编写,以及认证方审核内容的多少。(认证范围越大、员工数越多,费用越高;认证范围会影响到此次认证公司所处的角色,比如认证范围是系统的运维管理,公司的角色就是数据处理者,就会影响到认证材料的编写;认证范围越大,认证审核内容就越多。)

3.认证期限:一般认证的有效期是三年,三年后需要重新认证;除了第一年拿到认证证书,后面每年还有审核认证。

二、公司参与ISO27701认证的原因

1.业务需要,部分合作伙伴或者业务竞标需要公司提供ISO27701认证证明;或者ISO27701可以为业务合作加分。

2.公司高层要求,ISO27701可作为公司在个人隐私保护领域做得好的一个证明,以此来宣传;在面对监管时可作为一个证明;通过拿到ISO27701认证来提升公司的个人隐私保护水平。

3.同行竞争,同行都已经拿到ISO27701认证了,而且还做了很好的宣传,既然要竞争,那就也拿一个ISO27701认证吧。

三、认证规划

1.认证方:目前接触过BSI和DNV(国内应该主要就是这两家)。

2.项目立项:提前向认证方咨询清楚费用,规划好预算。认证材料的编写,建议购买咨询公司的服务(BSI和DNV也有咨询公司,也可以购买其它咨询公司的服务),认证所涉及的材料很多,也不好写,而且咨询公司的服务一般是协助拿到认证,咨询公司的帮助对于拿到认证的作用很大。规划好拿证的时间,从正式开始认证,到证书发下来,至少需要一个月时间(当然可以催认证方);正式开始认证前的准备时间,建议至少1到2个月以上,当然这可以依公司的规模和认证范围而变动。

3.认证步骤:确定认证范围->认证材料文件(制度文档)编写完善->DPIA->不合规项整改->其它文件梳理->认证方审阅材料文件->认证培训->现场认证->(不符合项整改)->颁发证书—->第二年、第三年审核认证。预算、合同的相关事情结合公司的实际情况,把握好进度,多和认证方的对接人沟通确认,有不清楚的就问。

四、过程

1.材料文件编写完善

1.1此处所说的材料文件是指参与审核所需的制度文件,包含隐私信息管理手册、隐私信息管理策略、标准适用性声明(SoA)、隐私信息连续性管理规定、隐私保护手册、隐私信息分类分级管理规定、隐私风险评估管理规定、个人信息泄露事件应急响应管理规定、供应商个人信息保护管理规定、隐私影响评估管理规定等。

1.2这些制度文件的发布时间和正式认证开始的时间要大于三个月,这是认证的规定;如果时间不够,咨询公司会告诉你处置方法,此处不做介绍。

1.3材料文件的编写完善,是很重要的一项,建议引起重视,并熟悉这些制度文件。

2.DPIA

2.1DPIA指数据保护影响评估,一般从 数据收集、数据传输、数据处理、数据主体权利、数据访问控制这几个大的角度展开,评估公司目前各系统的实际情况是否符合要求。

2.2此处需要交付的是DPIA的评估结果、数据流图,最好也要有DPIA流程触发判定表;需要审核的系统都需要进行DPIA,数据流图如果能展现在一张图里,当然最好,能够很清晰的展示公司数据的流转关系,也能让数据安全的同事更清晰的了解各应用系统。DPIA的价值还是很大的。

2.3DPIA耗费的时间是比较长的,当然这也和公司同事的配合情况有关系。

3.不合规项整改

3.1对于发现的不合规项,如果能在正式认证开始前整改完成的,就整改;如果整改不完,就针对每一项不合规项列一个整改计划,并进行风险评级。

3.2不合规项的整改计划,也是认证方要审核的文件;风险发现能力,也是认证方要审查的项。

4.其它文件

4.1个人信息清单

4.2资产清单

4.3隐私保护政策

4.4隐私保护培训记录

4.5供应商签署的数据处理协议

4.6个人信息泄露事件应急响应演练

4.7PII主体行权响应记录(如果有的话)

4.8公司收集参考的法律法规清单(包含海外)

4.9体系内审报告

4.10体系持续改进跟踪表

4.11体系内审计划

4.12体系管理评审报告

4.13有效性测量记录

5.认证方审阅材料文件

5.1在正式开始现场审核之前,认证方一般会先远程查看隐私信息管理手册、标准适用性声明这两个文件,然后针对一些疑问点,以及一些问题和隐私合规人员进行沟通;线上审核、查看制度文件。

5.2此次审核称为初审,也是比较正式的,有开始会议、结束会议,在结束会议上,认证老师会列出初步审核出来的不符合项和待确认项。

5.3认证老师会要一份公司的系统清单和职能部门清单,会根据初审的结果和清单,安排接下来的现场审核内容。

5.4认证老师在初审列出来的待确认项尽快确认,这些待确认项,基本都会在现场审核问到。

6.认证培训

6.1现场审核计划表出来后,尽快联系各应用系统的同事和职能部门的人员,协调时间,具体的访谈审核安排是可以调整的。

6.2如果要审核的应用系统或职能部门较多,认证方的审核老师第一年不会全部安排要参与审核。

6.3召集要参与现场审核的同事,进行一个培训,介绍审核过程的注意事项,包括态度积极、不与审核老师起冲突以及一些应对技巧等等。

7.现场认证

7.1现场认证,一般有2到3个认证老师,有可能是1到2个老师在线上进行审核(疫情或其它原因)。

7.2首先还是开始会议,大概半个小时的时间;前两天一般是现场的老师进行文件审核和安全负责人访谈,后面也会进行应用系统审核;线上的老师进行应用系统的审核。

7.3文件审核,审核老师会一个一个查看文件,文件的重点内容,老师会一条一条看,有疑问的地方,会随时问对接的人员。老师会让对接人员一个一个打开文件,翻到老师审核的内容,所以对接人员需要对文件比较熟悉才行。老师针对文件提出的不符合点,在现场认证的那几天尽量改。

7.4对于应用系统的审核,主要是通过访谈的形式,但访谈的过程中,老师会对系统进行查看,核验是不是按照要求做了隐私保护措施。

7.5对于职能部门,比如法务、HR、PR、GR等,主要也是通过访谈的形式审核,但审核过程中会查看一些职能部门的文件记录或应用系统。

7.6如果公司的办公地点是租赁的,老师可能会查看租赁合同(能显示租赁关系的那一页就行)。

7.7审核老师会在审核过程中列出一些不符合项,并在结束会议的时候正式告知。当然,一般在最后一两天,现场审核的老师就会口头告知有没有不符合项。不符合项包含:严重不符合、轻微不符合、观察项。有不符合项并不意味着认证不通过,还有个整改的步骤。

8.不符合项整改

8.1有严重不符合或轻微不符合项,是要进行整改的,并将整改结果在一个月内通过邮件发给审核老师。这个整改并不是指一定要整改完成,也可以是列出整改计划,当然下一年的审核,老师会审核这些整改项。

8.2整改结果的反馈,有标准的填写规范,审核老师一般会把填写的表格发出来,如果没发,可以要一下。

8.3观察项也建议整改,并反馈,虽然审核老师没有强制要求反馈整改结果。

9.颁发认证证书

一般从现场审核完成到反馈整改结果,再到拿到证书,需要花费一个多月的时间,如果想要快点拿到证书,可以催认证方的接口人。

10.第二、三年审核

10.1第二、三年审核一般也是现场审核,审核的内容没有第一年的多,但现场审核的过程基本一样。

10.2如果审核老师不是第一年参与审核的老师,可能审核的内容就会多一点。

五、其它经验

1.千万不要一个人负责ISO27701的整个事情(尤其是才刚入职),会忙到心态爆炸;特别是和审核老师对接,根本忙不过来,建议有几个审核老师,就安排几个同事对接。

2.审核老师一般不喜欢咨询方过多的参与现场审核环节,这个度要把握好;如果公司给了咨询方虚拟职位,就可以全程参与。

3.现场的审核老师一般都是审核组长。老师闲下来的时候,可以跟他聊聊行业、聊聊家常。

4.有不一致的意见,不要过多的和老师争论;即使要争论,也心平气和、语气温和的说话。

5.审核老师的午餐,建议管上。第一天可以请审核老师去稍微好一点的餐厅吃饭。

6.一些公司的敏感文件,可以给老师脱敏展示(一般都会签订保密协议)。

7.在进行DPIA、审核访谈约同事的时候,多花一点精力吧,可能同事比较忙,也可能比较烦安全。

来源:freebuf.com 2021-07-13 17:42:57 by: mingming10

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论