信息安全管理体系认证.docVIP

个人信息保护体系评价与信息安全管理体系认证的异同 个人信息安全是企业整体信息安全的一部分，在企业确立信息安全目标、制定信息安全规划，或实施ISO27001认证时，应根据个人信息的特征，考虑个人信息安全防护。 PIPS） 个人信息保护体系，是企业为实现个人信息保护目标、方针，充分、有效地开展个人信息保护的各项管理活动，约束企业管理行为的系统。 体系内个人信息保护的各项管理活动是相互关联又相互制约的，包括确立个人信息保护目标、制定个人信息保护方针、建立个人信息管理机制、保护机制、安全机制和过程改进机制及体系的质量管理等。 信息安全管理体系（ISMS） 信息安全管理体系，利用风险分析管理工具，结合信息资源列表、系统威胁来源分析，及系统安全脆弱性评估结果等，综合评价影响企业整体信息安全的因素，并制定清晰的信息安全策略、明确的信息安全机制，及安全管理、安全服务等，降低潜在的风险威胁，保证企业信息资源和业务的安全。 体系的异同 在体系构建、体系机制、体系实施、安全机制、过程改进等方面，PIPS与ISMS存在一定的相似性，但二者之间存在差异： 1.信息安全体系是基于信息资源的安全管理活动。针对信息资源的安全，制定了详细的管理规则。个人信息保护体系则通过个人信息的保护，保障个人信息主体的权益； 2.个人信息保护依然涉及信息资源的安全，但必须注意个人信息存在的多样变化及对信息资源产生的影响、发生的变化； 3.个人信息处于复杂、多变的环境中，呈现出多样性，因而，个人信息风险发生的可能性，随环境的变化、个人信息多样变化，风险因素亦随之增加或减少，风险事件发生的可能性亦随之增大或减小，可能产生不同的风险影响。 值得注意的是，除ISMS，企业中可能存在质量、环境等多种管理体系。这是目前国情、也是国际国内标准制定存在的现实。ISMS可以包容PIPS，但国际标准（27001、27002等）及等同采用国际标准的国内标准，均无法包容个人信息保护，而将个人信息分散管理，势必削弱个人信息保护力度，增加管理风险和成本。因而必须建立个人信息保护体系。 认证体系差异 ISMS与PIPS认证体系，均是系统、客观、全面地监督、判断、评估的安全性、有效性，确定体系中需要改进的缺陷、问题的过程