Hệ thống quản lý thông tin quyền riêng tư (PIMS) theo ISO/IEC 27701 của doanh nghiệp

Chứng nhận ISO 27701

Hệ thống quản lý thông tin quyền riêng tư

Hệ thống quản lý thông tin quyền riêng tư

ISO/IEC 27701 LÀ GÌ?

ISO 27701 của ISO/IEC 27701 là tiêu chuẩn Hệ thống quản lý thông tin quyền riêng tư (PIMS) được thiết kế để giúp các doanh nghiệp tuân thủ luật về quyền riêng tư trên toàn thế giới. Trong những năm gần đây, các luật bảo vệ dữ liệu mới đã được ban hành ở nhiều quốc gia nhằm thiết lập các yêu cầu về bảo mật và xử lý thông tin nhận dạng cá nhân (PII). Tuy nhiên, không phải lúc nào cũng rõ ràng các tổ chức nên tuân thủ các luật này như thế nào. ISO 27701 được giới thiệu vào năm 2019 và cung cấp hướng dẫn hữu ích để giúp các doanh nghiệp tuân thủ các quy định đa dạng này.

ISO/IEC 27701:2019 là phần mở rộng của ISO/IEC 27001, tiêu chuẩn về hệ thống quản lý bảo mật thông tin (ISMS). Trong đó ISO/IEC 27001 đặt ra tiêu chuẩn về quản trị CNTT an toàn theo nghĩa rộng nhất thì ISO/IEC 27701 tập trung cụ thể vào việc bảo vệ dữ liệu cá nhân.

 ISO/IEC 27701 là tiêu chuẩn đầu tiên thuộc loại này trên thế giới và được áp dụng cho các doanh nghiệp nhà nước và tư nhân, các cơ quan chính phủ và các tổ chức phi lợi nhuận. Nó hỗ trợ việc tuân thủ GDPR của EU nhưng cũng có thể áp dụng cho luật quản lý dữ liệu cá nhân ở tất cả các khu vực địa lý khác.

TẠI SAO CHỨNG NHẬN ISO 27701 LÀ QUAN TRỌNG?

Sau một số vụ vi phạm dữ liệu nghiêm trọng, chính phủ và các tổ chức quốc gia như EU đã đưa ra các luật mới nghiêm ngặt về bảo vệ dữ liệu cá nhân. Các luật bảo vệ dữ liệu này nhằm mục đích bảo vệ PII của công dân, chẳng hạn như tên, địa chỉ, tuổi, chi tiết tài khoản ngân hàng, v.v.

Tuy nhiên, việc hiểu cách áp dụng các quy định này cho ISMS của doanh nghiệp có thể rất khó khăn. Hơn nữa, đối với các doanh nghiệp xử lý dữ liệu khách hàng và nhân viên ở nhiều khu vực pháp lý, việc đảm bảo tuân thủ luật quản trị dữ liệu của một số quốc gia là rất phức tạp và tốn thời gian. ISO/IEC 27701 hỗ trợ doanh nghiệp bằng cách cung cấp cách thức được tiêu chuẩn hóa để tuân thủ tất cả các luật này.

Lợi ích của chứng nhận ISO 27701 bao gồm:

  • Tuân thủ tất cả các luật bảo vệ dữ liệu có liên quan và làm rõ vai trò cũng như trách nhiệm của người kiểm soát và xử lý PII.
  • Đạt được lợi thế cạnh tranh – Chứng nhận ISO/IEC 27701 thể hiện khả năng quản trị CNTT mạnh mẽ và tăng cường niềm tin của các bên liên quan vào các biện pháp bảo vệ dữ liệu và quyền riêng tư của doanh nghiệp.
  • Đạt tiêu chuẩn hàng đầu thế giới – cách tiếp cận theo hướng tuân thủ và rủi ro nghiêm ngặt đáp ứng các yêu cầu của luật quản trị dữ liệu toàn cầu.
  • Cải thiện tính minh bạch – đo lường và báo cáo các cải tiến về quyền riêng tư dữ liệu bằng cách sử dụng các biện pháp kiểm soát quyền riêng tư và bảo mật chi tiết.
  • Giảm thiểu rủi ro liên quan đến PII bằng cách theo dõi các mối đe dọa về quyền riêng tư ngày càng tăng và bối cảnh pháp lý.
  • Hỗ trợ các mối quan hệ kinh doanh với khách hàng và nhà cung cấp của doanh nghiệp bằng cách chứng minh rằng doanh nghiệp đáp ứng các tiêu chuẩn bảo vệ PII trên toàn thế giới.

TÜV SÜD HỖ TRỢ DOANH NGHIỆP THÔNG QUA QUY TRÌNH CHỨNG NHẬN ISO/IEC 27701

Đội ngũ ISMS giàu kinh nghiệm của TÜV SÜD có đủ chứng nhận và chuyên môn để thực hiện đánh giá ISO/IEC 27001 và ISO/IEC 27701 trong nhiều ngành. Thông qua mạng lưới các chuyên gia quản trị CNTT toàn cầu, chúng tôi có thể cung cấp dịch vụ chứng nhận bảo mật thông tin ở mọi nơi. Chúng tôi có hiểu biết sâu sắc về tiêu chuẩn và có nhiều kinh nghiệm giúp các doanh nghiệp thực hiện loại quy định quản trị CNTT này.

Hơn nữa, các chuyên gia của TÜV SÜD tích cực tham gia vào các hội đồng tiêu chuẩn hóa quốc tế và chúng tôi có hiểu biết đầy đủ về những phát triển quy định PII mới nhất trên toàn thế giới. Và vì chúng tôi không phụ thuộc vào nhà cung cấp nên hoạt động kiểm tra bên thứ ba của chúng tôi vừa khách quan vừa độc lập, nghĩa là doanh nghiệp có được những thông tin có giá trị từ một chuyên gia độc lập.

QUY TRÌNH CHỨNG NHẬN ISO/IEC 27701 của TÜV SÜD

TÜV SÜD đã phát triển một quy trình gồm 5 bước hiệu quả để hỗ trợ doanh nghiệp đạt được chứng nhận ISO/IEC 27701:

  1. Đánh giá sự sẵn sàng
    Chúng tôi giúp doanh nghiệp hiểu mục tiêu của tiêu chuẩn và các yêu cầu thông tin cho cuộc đanh giá.
  2. Đánh giá tại chỗ
    Các chuyên gia của chúng tôi tiến hành đánh giá các hoạt động bảo vệ PII, đánh giá cách doanh nghiệp lưu trữ và xử lý thông tin khách hàng. 
  3. Giải quyết các điểm không phù hợp
    Sau cuộc đánh giá, doanh nghiệp sẽ thực hiện các biện pháp để khắc phục các điểm không phù hợp mà cuộc đánh giá đã xác định.
  4. Phát hành báo cáo đánh giá và chứng nhận
    TÜV SÜD cấp cho doanh nghiệp chứng chỉ ISO 27701 để doanh nghiệp có thể sử dụng chứng chỉ này để chứng minh sự tuân thủ của mình.
  5. Đánh giá giám sát hàng năm
    Để duy trì chứng nhận, chúng tôi tiến hành đánh giá giám sát hàng năm để đảm bảo các tiêu chuẩn quản lý dữ liệu ISO tiếp tục được đáp ứng.

Việc tuân thủ các quy định mới về quyền riêng tư như GDPR của EU, Đạo luật về quyền riêng tư của người tiêu dùng của California, Dự luật bảo vệ dữ liệu cá nhân của Ấn Độ hoặc Luật bảo vệ dữ liệu chung của Brazil có thể rất khó khăn. Tuy nhiên, bằng cách đạt được chứng nhận ISO/IEC 27701, doanh nghiệp có thể cho thấy sự tuân thủ tất cả các yêu cầu này (và tương tự).

Để tìm hiểu thêm về tiêu chuẩn hoặc bắt đầu quy trình để đạt được chứng nhận ISO/IEC 27701, hãy liên hệ với chúng tôi ngay hôm nay.

CÁC CÂU HỎI THƯỜNG GẶP

  • Sự khác biệt giữa ISO 27001 và 27701 là gì?

    ISO 27001 là một khuôn khổ cho Hệ thống quản lý bảo mật thông tin (ISMS) để cung cấp tính bảo mật. ISO 27701 là phần mở rộng của tiêu chuẩn ISO/IEC 27001 và cung cấp các yêu cầu đối với Quy định chung về bảo vệ dữ liệu (GDPR). ISO 27701 tập trung vào quyền riêng tư và xác định khuôn khổ cho Hệ thống quản lý thông tin quyền riêng tư (PIMS). Nó quản lý quyền riêng tư với bộ xử lý và bộ điều khiển đối với thông tin nhận diện cá nhân.

  • ISO 27701 có được chứng nhận không? Doanh nghiệp có thể nhận được chứng nhận ISO 27701 không?

    Có, bất kỳ doanh nghiệp nào cũng có thể đạt được ISO 27701 bất kể quy mô, lĩnh vực hoặc quyền sở hữu. Các khu vực chính phủ, tư nhân, phi lợi nhuận có thể được chứng nhận ISO 27701. Nó đóng vai trò như một khuôn khổ có giá trị để các doanh nghiệp tuân thủ luật về quyền riêng tư.

  • Tổ chức có thể nhận được chứng nhận ISO 27701 mà không cần chứng nhận ISO 27001 không?

    Không. ISO/IEC 27001 là điều kiện tiên quyết cho ISO 27701 và ISO 27701 đóng vai trò là phần mở rộng của tiêu chuẩn ISO 27001.

  • Có bao nhiêu biện pháp kiểm soát trong ISO 27701?

    114 biện pháp kiểm soát bảo mật của ISO 27701 là một phần của Phụ lục A của ISO 27001. ISO 27701 cũng xác định các hướng dẫn để triển khai các biện pháp kiểm soát này. Bao gồm:
    ○ ISO 29100 (Công nghệ thông tin – Kỹ thuật bảo mật – Khung quyền riêng tư);
    ○ ISO 29151 (Công nghệ thông tin – Kỹ thuật bảo mật – Quy tắc thực hành bảo vệ thông tin nhận dạng cá nhân); Và
    ○ ISO 27018 (Công nghệ thông tin – Kỹ thuật bảo mật – Quy tắc thực hành để bảo vệ thông tin nhận dạng cá nhân (PII) trên các đám mây công cộng đóng vai trò là bộ xử lý PII).

  • Tiêu chuẩn ISO tập trung vào quyền riêng tư là gì?

    Tiêu chuẩn ISO 27701 tập trung vào việc bảo vệ thông tin nhận dạng cá nhân (PII). Định nghĩa PIMS cho phép các tổ chức tuân thủ các quy định về quyền riêng tư trên toàn thế giới.

  • Làm cách nào để đạt được chứng nhận ISO 27701?

    Có 5 bước đơn giản để đạt được chứng nhận ISO 27001 với TÜV SÜD, đó là:

    Đánh giá sự sẵn sàng: TÜV SÜD đánh giá tài liệu và hồ sơ doanh nghiệp.
    Đánh giá tại chỗ: TÜV SÜD đánh giá sự tuân thủ của các hoạt động thực tế của doanh nghiệp với các yêu cầu ISO 27701 và hồ sơ doanh nghiệp.
    Thu hẹp khoảng cách: Doanh nghiệp xác định và thực hiện các biện pháp để khắc phục nguyên nhân gốc rễ của các điểm không phù hợp được xác định trong quá trình kiểm tra.
    Cấp chứng nhận: TÜV SÜD cấp chứng nhận và dấu chứng nhận ISO 27701
    Đánh giá giám sát: Yêu cầu đánh giá hàng năm để duy trì hiệu lực của chứng nhận

  • Ai cần ISO 27701?

    Tiêu chuẩn ISO 27701 là cần thiết để chứng minh sự tuân thủ và quyền riêng tư dữ liệu. Bất kỳ doanh nghiệp nào xử lý thông tin nhận dạng cá nhân (PII) đều có thể được hưởng lợi từ chứng nhận ISO 27701 PIMS (Hệ thống quản lý thông tin quyền riêng tư). Đánh giá chứng nhận ISO 27701 cung cấp cách tiếp cận toàn cầu, dựa trên rủi ro để bảo vệ quyền riêng tư như một phần của bảo mật thông tin. Quy mô và loại hình của công ty không làm thay đổi sự cần thiết của chứng nhận.

  • ISO 27701 có bao gồm GDPR không?

    Chứng nhận PIMS ISO 27701 trùng lặp với GDPR. Chứng nhận có thể giúp doanh nghiệp chứng minh với khách hàng, tổ chức bên ngoài và các bên nội bộ liên quan rằng doanh nghiệp có các biện pháp bảo vệ ISMS để bảo vệ dữ liệu và tuân thủ GDPR. Doanh nghiệp có thể điều chỉnh danh sách kiểm tra vận hành ISO 27701 để thể hiện sự tuân thủ hiệu quả với GDPR.

KHÁM PHÁ

CubePay Case Study on ISO 27001 and ISO 27701
Nghiên cứu điển hình

Cube Payment Services

Certifications based on ISO/IEC 27001 ISMS and ISO/IEC 27701 PIMS have inspired greater trust and confidence in CubePay.

Learn More

ISO/IEC 27701
Infosheet

ISO/IEC 27701 - Hệ thống quản lý thông tin riêng tư

Cách tiếp cận bảo mật dữ liệu hài hòa trên toàn cầu

Tải xuống

Voith
Nghiên cứu điển hình

Giải pháp số của Voith

ISO/IEC 27001: Với Hệ thống quản lý bảo mật thông tin (ISMS) được chứng nhận bởi TÜV SÜD, khách hàng trên toàn cầu giao phó cho Voith dữ liệu của họ.

Tìm hiểu thêm

Sách trắng

ISO/IEC 27001 – Bảo mật thông tin

Giảm thiểu rủi ro bảo mật thông tin tổng thể bằng cách triển khai ISMS.

Tìm hiểu thêm

CÁC THÔNG TIN LIÊN QUAN

Bước tiếp theo

Chọn vị trí