跳到主要內容區塊
:::
國際標準顧問服務
Consulting Service
:::
ISO 27701 國際認證

ISO 27701 是由國際標準化組織(ISO)制定的隱私資訊管理系統(Privacy Information Management System, PIMS)標準。它是對 ISO 27001 和 ISO 27002 的延伸,專注於個人資料(PII)的管理,旨在幫助組織有效地保護和管理個人資訊,確保資訊的機密性、完整性和可用性,同時滿足全球各地隱私法規的要求。

img
驗證步驟和規範

組織若希望通過 ISO 27701 驗證,需遵守以下幾個主要步驟和規範:
 

符合 ISO 27701 標準要求
組織首先需要理解並遵守 ISO 27701 的核心要求,包括在既有的資訊安全管理系統(ISMS)基礎上,擴展並建立一套完整的隱私資訊管理系統(PIMS)。必須根據標準的要求進行組織全景的評鑑,並制定適當的隱私資訊管理政策,以確保個人資料的處理符合合規性要求。
選擇驗證機構
需要選擇一個經國際認可的第三方驗證機構進行 ISO 27701 驗證。驗證機購必須被國際認可論壇 (International Accreditation Fourm) 認可。
進行內部準備
在申請 ISO 27701 驗證之前,組織需要做好內部準備。通常包括:
  • 建立或優化隱私資訊管理政策和流程。
  • 訓練相關員工,讓他們理解隱私資訊管理系統的標準及其要求。
  • 完成風險評鑑,並根據評鑑結果制定對應的控制措施。
進行外部稽核
外部稽核是驗證過程中的關鍵部分。驗證機構會對組織的隱私資訊管理系統 (PIMS) 進行審查,確認該組織是否遵循 ISO 27701 標準的要求。通常外部審核會分為兩個階段:
  • 第一階段稽核(文件審查):檢查組織是否準備好接受全面審核。
  • 第二階段稽核(實地查核):深入檢驗組織是否完全符合 ISO 27701 標準。
持續監控和續評
通過驗證後,組織需要進行定期的內部審查和管理審查,以確保持續符合 ISO 27701 的要求。通常驗證有效期為三年,到期後需要進行再驗證審核。
符合台灣相關法規
除了 ISO 27701 標準外,組織還需要遵守一些與隱私安全相關的法律和規範,如:
  • 個人資料保護法:確保企業在處理個人資料時遵守相關規定。
  • 電信法及網際網路安全法:如果組織涉及提供網路或電信服務,還需要遵守這些法律的要求。
資安管理人員資格要求
組織在取得 ISO 27701 認證時,通常需要資安管理或權責單位的人員來負責管理系統,並確保符合組織的要求及運作的有效性。這些人員需具備一定的資安知識,並可能需要取得相關的資安證照(如 ISO 27001 LA、ISO 27701 LA、Security+、CISA 等)。

ISO 27701 驗證的優勢
  • 增強信任:展示組織在隱私資訊管理方面的承諾,提升客戶和合作夥伴的信任度。
  • 法規遵循:協助組織遵守如歐盟 GDPR 等全球隱私法規,降低法律風險。
  • 風險管理:提供系統化的方法識別和管理與隱私資訊相關的風險。
  • 競爭優勢:取得 ISO 27701 驗證可成為市場區隔的關鍵因素,提升組織的競爭力。
 
專業的顧問服務

我們提供專業的顧問服務是幫助企業或組織建立、實施、維護和改進符合 ISO 27701 標準的隱私資訊管理系統,最終通過第三方驗證單位為目標。

專業指導
具備豐富的專業知識與實務經驗,能幫助企業快速而高效地完成認證過程。
減少風險
能夠識別和管理企業在資訊安全方面的風險,確保企業資訊資產的安全。
提高效率
提供流程優化建議,幫助企業提高管理效率,避免冗餘和不必要的浪費。
加速驗證過程
指導企業按照正確的步驟實施 PIMS,加速驗證過程,降低風險。
我們的 ISO 27701 顧問服務

我們提供專業的顧問服務,協助組織建立、實施、維護和改進符合 ISO 27701 標準的隱私資訊管理系統,確保您的組織能夠有效地管理個人資訊,並順利通過驗證。
 

服務內容
  1. 組織全景分析:
    透視組織全景可以讓委員會更加能理解組織的各個層面、現行制度、與核心業務相關聯的人事物、對外的合作關係、合規性、與外部的依存性等等。
  2. 隱私安全風險評鑑與處理:
    幫助企業進行隱私風險評鑑,識別與企業運營相關的隱私安全風險,並提供對應的隱私風險管理建議。因為隱私評鑑與處理是建立隱私安全管理系統的重要核心之一。
  3. 建立隱私安全管理政策和程序:
    協助企業根據 ISO 27701 的要求,編寫並建立隱私安全管理政策、標準和程序。這些文件有助於規範企業內部的資訊安全措施,確保每個員工理解並遵循資訊安全要求。
  4. 設計並實施隱私安全管理系統 (PIMS):
    根據隱私風險評鑑結果,協助企業設計並實施一個有效的資訊安全管理系統,包括建立資訊安全的量測目標、資安控制措施和流程,並確保所有人員在日常工作中遵循這些流程。
  5. 培訓與意識提升:
    為企業的管理層和員工提供 個資安全意識相關的培訓,提升他們對隱私安全管理的認識和實踐能力,確保全員能夠有效執行資訊安全管理系統中的各項措施。
  6. 內部稽核與自我評鑑:
    透過查驗、測試、訪談多種面向,確保企業再實施管理制度的效率及有效性。
  7. 準備外部驗證查核:
    協助企業準備外部稽核,包括指導企業準備驗證所需的文件和資料,協助解答稽核員提出的問題,並確保企業滿足資安內控的相關要求,並順利通過第三方驗證流程。
  8. 持續改進:
    通過第三方驗證單位驗稽核後,針對稽核結果協助企業持續改進機制,確保資訊安全管理系統的運作不斷得到改進。