近日,声网Agora正式获得由国际权威的质量认证和风险管理机构DNV颁发的ISO/IEC 27701隐私信息管理体系认证证书。这也是声网继获得ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018体系认证、公安部信息安全等级保护三级认证、SOC2 Type II服务鉴证报告后,再次获得的一项全球隐私保护领域的权威认证,这标志着声网的信息安全及隐私相关管理体系管控已进入全球范围内的先进行列,也将为客户带来更坚实的信息安全保障。
什么是ISO/IEC 27701?
2019年8月6日,国际标准化组织ISO和国际电工委员会IEC正式对外发布ISO/IEC 27701隐私信息管理体系标准。这标志着信息安全、隐私与个人信息保护,在国际间法律与法规的合规展现有了一致性的标准。
ISO/IEC 27701 以ISO/IEC 27001和ISO/IEC 27002认证为基础,结合组织环境和风险管理选择涵盖法律法规、符合性、文件管理、风险管理、设备安全、人力资源、信息安全、运行管理、发布管理、连续性、安全架构等16个控制区域及133个控制措施,结合符合性进行结果评价。
ISO/IEC 27701目标是通过新增的要求来增强现有信息安全管理体系(ISMS),以便建立、实施、维护和不断改进隐私信息管理体系(PIMS),标准概述了适用于个人身份信息(PII)控制者和PII处理者的框架,用于隐私控制管理,以降低对个人隐私的各种风险。ISO/IEC 27701是国际公认的权威的隐私信息管理体系建设指导标准,被视为目前全球隐私保护领域最权威的认证之一。
声网获得ISO/IEC 27701认证有哪些关键意义?
1、完善隐私安全合规能力:ISO/IEC 27701是首个真正意义上构建出具有PDCA完整运行闭环的隐私信息管理体系标准。其详细规定了建立、实施、维护和不断改进隐私信息管理系统的各项要求,在信息安全保护的基础上将处理个人可识别信息 (PII)所需的隐私保护措施纳入考量。
通过明确对PII处理者的隐私保护要求,可以明确隐私保护管理合规目标,进一步完善隐私安全合规能力,并降低合规的风险,ISO/IEC 27701标准对隐私保护的严格要求,也更全面地覆盖了GDPR的要求。
2、完善数据安全能力和风险管理:实现持续的完善产品的非功能性要求,进而展示出产品在处理个人隐私安全、安全治理的绩效,通过流程分析,在流程的输入、输出、控制过程中,识别、分析、验证隐私保护需求、传递隐私保护价值,减少甚至消除隐私泄露的风险,如:体现为采用隐私控制技术(如日志脱敏、数据库加密)、产品架构(如加密芯片)、技术路径(如完整性校验)等。
3、为客户带来更坚实的信息安全保障:客户或合作伙伴,尤其是政府组织、金融机构作为承担隐私风险的机构,通常会要求PII处理者提供相关证据,从而证明PII处理者的产品能符合适用的隐私管理体系要求。获得第三方权威机构颁发的ISO/IEC 27701认证证书,一方面可以为客户带来更坚实的信息安全保障,另一方面也可以极大地降低合规沟通成本,提升客户与公众对声网隐私安全合规的可信度。
取得PIMS关键成果 声网为企业出海再添安全合规保障
随着欧盟的GDPR和更多类似隐私数据保护法律法规的发布,全球范围内对隐私要求的合规需求正在增加。这对于很多出海企业而言将面临更严格的隐私合规挑战,当地监管会严格审核企业本身的安全性以及所使用的云服务商是否合规等,所以云服务商是否具备安全合规的保障,成为了当下出海企业选择的重要考量因素,尤其是拥有客观、独立的第三方安全认证资质的。
声网此次获得ISO/IEC 27701认证是建立、完善隐私信息管理体系(PIMS)的关键成果,ISO/IEC 27701加入了隐私保护的额外要求,基本满足了 GDPR 的要求,而 GDPR 目前在众多隐私保护法规中最为严格。对于很多出海企业而言,满足GDPR的要求,也意味着大幅降低了企业隐私安全合规的风险,在海外展开业务无后顾之忧。
目前声网已经通过ISO/IEC 27001、ISO/IEC ISO27017、ISO/IEC 27018、ISO/IEC 27701体系认证,并获得了SOC2 Type 2服务鉴证报告,进一步完善了自身的隐私保护和安全能力。声网也与Trustwave、Ernst & Young等信息安全机构、会计师事务所保持长期合作,以保障平台产品遵从包括欧盟《通用数据保护条例》(GDPR);美国《加州消费者隐私法》(CCPA)、《健康保险携带和责任法案》(HIPAA)、《儿童在线隐私保护法》(COPPA)等国外的法律法规要求,为企业出海提供更全面的安全合规保障。