个人可识别信息安全管理体系认证

一、业务背景

个人可识别信息（PII）包括任何可用以确定特定用户身份的信息。比较直接的例子包括姓名、年龄、性别、联系方式等。但也有一些个人身份信息不常容易让人联想到，例如病历卡、IP地址和银行对账单 。

PII数据泄露的潜在风险已成为国际首要议程。大量重大信息安全事件已将人们的注意力引向如何保护个人信息。

二、业务介绍

ISO/IEC 29151描述了可被普遍接受的个人可识别信息(PII)安全控制措施和风险处理指南，该标准基于ISO/IEC 27002的基本结构，将ISO/IEC 29100中的隐私原则予以对应，形成实用且针对性强的PII保护措施，供组织使用。

ISO/IEC 29151是个人信息保护的行为准则、是个人身份信息保护的实践指南，侧重于隐私技术。它主要是基于ISO 27002的各个控制措施加入了PII的实施指南，并引入了ISO 29100的隐私保护原则。

ISO/IEC 29151适用于所有类型和规模的作为PII控制者的组织，包括处理PII的公共和私营公司、政府机构和非盈利组织。

赛西认证制定的《个人可识别信息安全管理体系认证技术规范》将ISO/IEC 29151的指南转化为技术要求，并结合信息安全管理体系的要求形成了标准的管理体系认证依据。根据企业的申请，为企业提供个人可识别信息安全管理体系符合性认证。满足现行标准要求的，为企业颁发相关证书。

三、实施该业务的价值 

ISO/IEC 29151标准建立在ISO/IEC 27001信息安全管理体系框架和ISO/IEC 27002作为最佳实践控制设置的坚实基础之上。通过个人可识别信息安全管理体系认证，即证明其遵守国际公认的最佳实践，在更广泛的运营层面构建组织的生存力。通过个人可识别信息安全管理体系认证的益处包括不限于：增强信任，为客户和利益相关者提供更大的保证，即个人数据和信息受到保护；通过最大限度地保护个人信息，在竞争对手中脱颖而出展示竞争优势减少由于数据泄露而引起的不利宣传的风险保护品牌声誉；确保识别风险，并采取控制措施来管理或降低风险；确保遵守当地法规，降低对数据泄露的罚款风险；提供覆盖不同国家或地区的通用指导方针，为在全球范围内开展业务和获得作为首选供应商的机会提供便利性，企业获得发展。

四、业务流程

申请认证的组织应已建立符合ISO/IEC 27001标准要求的管理体系，并且按照ISO/IEC 29151的指南建立了相关控制措施，在申请认证之前应完成内部审核和管理评审，并保证体系有效、充分运行三个月以上。  

组织应向赛西认证提供管理体系运行的充分信息，对于多现场应说明各现场的认证范围、地址及人员分布等情况，赛西认证将以抽样的方式对多现场进行审核。

认证分两个阶段进行：第一阶段审核，主要进行文件审核并确认第二阶段审核准备的充分性；第二阶段审核，主要对体系的符合性和有效性进行评价，作出现场审核的推荐结论。

证书有效期3年，获得认证后每年进行一次监督，两次监督间隔不得超过12个月。