ISO 29151认证：为个人可识别信息保护加装“安全锁”

ISO/IEC 29151：2017是由国际标准化组织（ISO）和国际电工委员会（IEC）共同发布的个人可识别信息（Personally Identifiable Information， PII）保护标准。该认证提供了一套全面的控制目标和实施指南，旨在帮助组织控制与个人身份信息相关的风险。

该标准基于ISO/IEC 27002信息安全控制实践规则，并引入了ISO/IEC 29100的隐私保护原则，为组织处理个人身份信息（包括收集、存储、使用、传输、共享和销毁等环节）提供了国际通行的最佳实践指南。

1. 增强客户信任，提升品牌价值

ISO 29151认证能够成为企业品牌的重要资产，帮助企业有效增强客户信任，获得潜在业务机会。

2. 满足隐私法规要求

企业面临越来越严格的监管环境，ISO 29151认证能够证实组织对其产品和服务目标市场所在地隐私法规的遵从，获得所在地的市场准入；

3. 降低数据泄露风险

该认证提供了系统的风险管理框架，帮助组织减少隐私泄露风险和违规可能。通过实施标准中的控制措施，企业能够有效防止个人身份信息被故意或意外地非授权泄露、篡改或破坏。

4. 提升内部管理能力

实施ISO 29151标准能够强化员工的信息安全意识，规范组织的信息安全行为，减少人为原因造成的不必要损失，同时提高组织在隐私信息管理方面的能力和成熟度。

ISO 29151：2017适用于所有类型和规模的作为PII控制者的组织，包括公有和私营公司、政府机构和非营利组织。特别适用以下行业：

认证申请组织应具备以下条件：

1）取得国家市场监督管理部门或有关机构注册登记的法人资格（或其组成部分）；

2）已取得相关法规规定的行政许可（适用时）；

3）提供的产品或服务符合中华人民共和国相关法律法规要求；

4）建立和实施了个人可识别信息保护管理体系，且有效运行3个月以上；

5）近一年内，未发生重大信息安全事故，未违反国家信息安全管理相关法规，或未因负面情况而被其他相关认证机构撤销个人可识别信息保护管理体系认证证书。

认证申请组织应提交的文件和资料：

1）组织基本信息以及申请认证的活动、产品和服务的范围信息（申请书）；

2）营业执照复印件；

3）有关法规规定的行政许可文件证明文件（适用时）；

4）依据ISO 29151标准建立的体系文件（一级和二级文件，至少包含SOA文件和程序文件），体系建立后至少运行3个月以上；

5）内部审核和管理评审的证明文件；

6）支持PIIPMS的规程和控制措施、风险评估方法的描述、风险评估报告、风险处置计划、组织为确保其信息安全过程的有效规范/运行和控制以及描述如何测量控制措施的有效性的文件；

7）适用的法律法规清单。

第一阶段：准备与建立体系

企业需要全面了解ISO/IEC 29151标准要求，将ISO/IEC 29151中关于PII保护的额外要求和控制措施整合到现有的ISO/IEC 27001信息安全管理体系中，形成完善的管理体系。

第二阶段：体系运行与改进

实施和运行包含ISO/IEC 29151要求的管理体系，更新或新增相关的政策、程序、操作指南和记录。

在此期间，需进行必要的内部审核和管理评审，持续改进并确保体系的有效运行。

第三阶段：认证审核

①提交认证申请：向认证机构提交认证申请及相关文件，包括管理体系文件、内部审核和管理评审报告等

②现场审核：

第一阶段审核（预审）：认证机构审核员进行预审，识别重大不符合项，同时让客户熟悉审核方法；

第二阶段审核（正式审核）：审核员进行现场审核，重点检查ISO/IEC 29151标准中关于PII保护措施的实施情况。

③持续维护（证书有效期3年）：获得证书后，企业需要持续改进和运行管理体系，每年接受一次监督审核，三年有效期届满前需进行再认证审核。