ISO/IEC 29100:2024是隐私框架的国际标准,为处理个人可识别信息(PII)提供高层次的隐私保护框架和共同隐私术语。该标准定义了隐私保护的11项基本原则,包括同意和选择、目的合法性、收集限制、数据最小化、使用限制、披露限制、保留限制、准确性和质量、开放性透明度和通知、个人参与和访问、问责制。标准为组织建立隐私保护体系提供概念框架,帮助组织识别隐私风险并实施适当的控制措施。虽然该标准不直接提供认证,但为其他隐私相关标准(如ISO/IEC 27018、ISO/IEC 29151)提供基础框架。适用于任何处理PII的组织,通过应用可建立隐私保护的基础理念,指导隐私政策和程序的制定,促进与利益相关方的隐私沟通,支持全球隐私法规的合规。
ISO/IEC 29100:2024 隐私框架管理体系
ISO/IEC 29100:2024是隐私框架的国际标准,为处理个人可识别信息(PII)提供高层次的隐私保护框架和共同隐私术语。该标准定义了隐私保护的11项基本原则,包括同意和选择、目的合法性、收集限制、数据最小化、使用限制、披露限制、保留限制、准确性和质量、开放性透明度和通知、个人参与和访问、问责制。
标准信息
国际标准
ISO/IEC 29100:2024
国家标准
无
标准名称
Privacy framework
标准名称
隐私框架管理体系
发布机构
ISO/IEC 国际标准化组织与国际电工委员会
发布机构
无
发布日期
2024 年 2 月
发布日期
无
标准简介
标准目的
- 建立隐私框架构建系统化的隐私管理框架,规范组织隐私信息的全流程管理,明确隐私保护的原则、目标与措施
- 保护隐私权益基于隐私框架,全面保护个人隐私权益,防止隐私信息泄露、滥用、篡改,确保隐私信息处理的合法性与合规性
- 适配隐私合规确保隐私框架符合国家个人信息保护、数据安全相关法律法规及国际隐私标准,助力组织实现隐私合规管理
- 提升隐私管理能力通过隐私框架的落地实施,提升组织隐私管理的系统性与科学性,增强隐私风险管控能力
- 促进隐私协同推动组织内部各部门、合作伙伴之间的隐私管理协同,实现隐私信息全链条、一体化保护
适用范围
- 行业覆盖适用于所有处理隐私信息的组织,涵盖互联网、金融、医疗、电商、教育等全行业,不分组织规模与类型
- 规模覆盖适配小微企业、中小企业、大型集团、跨国企业等不同规模组织,可根据隐私管理需求灵活调整框架内容
- 场景覆盖涵盖隐私信息收集、存储、加工、传输、共享、销毁、隐私影响评估、应急处置等全流程场景
- 管理覆盖覆盖隐私框架制定、风险评估、控制措施实施、绩效评价、持续改进等全管理环节
- 认证覆盖支持单一站点、多站点、集团化等不同组织架构的认证模式,满足总部与分支机构隐私框架一体化管理需求
核心要素
管理控制
核心维度覆盖占比
人工智能(AI)定义
人工智能(AI)定义
人工智能的三大核心要素
三大要素能力图
信息安全核心:CIA 三要素
核心概念定义
IT服务管理三要素
IT服务管理过程
CS能力评估等级体系
服务类型细分
部署模式细分
全等级综合对比
能力维度雷达对比
ITSS咨询设计核心说明
标准内容
- 1 范围
- 2 规范性引用文件
- 3 术语和定义
- 4 缩略语
-
- 5.1 隐私框架概述
- 5.2 参与者与角色
- 5.3 相互作用
- 5.4 识别PII
- 5.5 隐私保护要求
- 5.6 隐私方针
- 5.7 隐私控制
-
- 6.1 隐私原则概述
- 6.2 同意和选择
- 6.3 目的合法性与规范性
- 6.4 收集限制
- 6.5 数据最小化
- 6.6 使用、保留和披露限制
- 6.7 准确性和质量
- 6.8 公开性、透明度和通知
- 6.9 个人参与和访问
- 6.10 问责制
- 6.11 信息安全
- 6.12 隐私合规
体系运行过程模型
| 阶段 | ISO29100中的定义 | 在标准中的核心映射 |
|---|---|---|
| P (策划) | 识别信息资产和风险,明确安全目标、适用控制和治理策略。 | 第4章、5章、6章(上下文、领导作用、风险策划) |
| D (实施) | 落地安全控制、职责分工、运行流程与监控机制。 | 第7章、8章(支持与运行)及控制域实施 |
| C (检查) | 通过监控、审计、评审验证控制有效性并识别差距。 | 第9章(监视测量、内审、管理评审) |
| A (处置) | 处理安全事件和不符合,更新风险评估与控制措施。 | 第10章(不符合、纠正和持续改进) |
ISO29100 标准解读
- 暂无对应标准解读,欢迎联系我们获取专项方案。
信息安全运行控制
云服务信息安全控制措施
核心维度覆盖占比
个人身份信息(PII)保护控制措施
核心维度覆盖占比
个人信息安全规范控制措施
核心维度覆盖占比
公有云隐私控制措施
核心维度数量占比
隐私概念
隐私控制者 vs 隐私处理者 核心区别
| 对比维度 | 隐私控制者 | 隐私处理者 |
|---|
隐私控制措施分类
隐私控制措施分类占比
七项质量管理基本原则
领域控制措施
核心维度覆盖占比
数据安全能力成熟度等级
数据安全过程
认证咨询流程
→→→→→→→→→
初次获证要求
- 合规性证明需持有法律地位证明文件(如营业执照)
- 资质许可特殊认证范围,需提供必要的行政许可、资质证书、强制性认证证书
- 成立周期公司成立超过3个月
- 运行周期体系运行超过3个月
- 体系要求依据ISO29100标准建立符合的隐私框架管理体系
- 运行要求有健全的隐私框架管理体系运行证据
- 内审管评必须有一次完整的内审和管理评审
- 现场审核通过一二阶段现场审核,并完成不符合整改
证书维护要求
- 证书有效期隐私框架管理体系证书是三年有效期
- 监督审核隐私框架管理体系证书需每年一次监督审核,与上次审核间隔不超过12个月
- 再认证审核隐私框架管理体系证书有效期3年,到期前需进行一次换证审核,审核通过后,换发新三年周期的有效证书
- 变更审核当组织的隐私框架管理体系发生变化,比如公司业务调整、办公地址变化、组织机构调整、人员变化等,可申请证书变更,可结合监督审核 / 换证审核一起进行变更,也可以单独申请变更
- 证书暂停当证书超出监督审核周期时,证书进行暂停状态,暂停期间不可以使用证书
- 证书撤销当证书超出三年有效期而没有进行换证审核,或者在暂停截至日期前没有进行有效的监督审核,或发生重大质量安全事故或有严重违法违规行为,或被列入质量信用严重失信企业名单,证书会进行撤销处理
实施 ISO29100 的价值
- 风险可控识别信息资产风险并建立控制措施。
- 合规治理满足数据安全与隐私合规要求。
- 客户信任提升客户对平台与服务的安全信心。
- 业务连续减少安全事件对业务运行的影响。
- 治理能力形成跨部门协同的安全管理机制。
- 持续防护通过监测审计持续提升防护能力。
与其他体系结合
标准名称
推荐率
常见问题及误区
Q1:ISO29100是隐私管理的专项标准,可直接替代ISO27701?
A:不是,ISO29100是通用的隐私保护框架,为组织隐私管理提供基本原则和指导,ISO27701是可认证的隐私信息管理体系标准,基于ISO29100的框架制定,更具实操性和规范性,两者是基础与延伸的关系。
Q2:只有开展跨国业务的组织才需要遵循ISO29100,国内组织无需关注?
A:不是,ISO29100的隐私框架符合国际通用准则,同时也可指导国内组织的隐私管理工作,为组织搭建隐私管理体系提供基础框架,助力组织符合国内隐私法律法规。
Q3:ISO29100的隐私框架只是理论要求,无法落地执行?
A:不是,框架明确了隐私管理的核心原则和关键环节,组织可根据自身业务特点,将框架转化为具体的隐私管理制度和操作流程,实现落地执行。
Q4:企业已经建立了ISO27701体系,就无需再参考ISO29100?
A:不是,ISO29100的隐私框架是ISO27701的制定基础,参考框架可帮助组织更深入地理解隐私管理的核心逻辑,优化ISO27701体系的落地效果,实现更系统的隐私管理。
Q5:ISO29100仅适用于企业组织,政务机构等非企业单位无需遵循?
A:不是,框架适用于所有收集、处理个人信息的组织,包括政务机构、事业单位、企业等,无组织性质限制,核心是保障个人隐私权益。
认证及咨询费用
费用影响因素占比
组织地理位置(及多个办公场所)15%
一线城市或多办公场所会增加差旅与审核组织成本,偏远地区可能有额外服务费用。
组织人员数量20%
人员规模影响审核人日和咨询工作量,人数越多,评估与辅导投入越高。
组织业务范围10%
业务线越多、范围越广,体系边界与过程设计越复杂,实施成本会同步增加。
选择认证机构25%
不同认证机构的品牌影响力、审核规则与项目组织方式不同,费用差异较明显。
咨询质量要求25%
资深顾问、定制化交付与全流程辅导方案,通常较基础辅导投入更高。
认证周期要求10%
加急周期会带来额外资源协调成本,常规周期通常更具费用优势。
最终费用,请联系我们
