顺丰科技获颁ISO/IEC 27701:2019隐私信息管理体系认证证书

2019.11.8
  • 2019年11月8日,国际认证机构DNV GL正式向顺丰科技有限公司颁发ISO/IEC 27701:2019标准认证证书。作为DNV GL全球第三家、物流行业全球第一家通过此标准认证的企业,此次证书的颁发意味着顺丰成功完成从信息安全管理体系到隐私信息管理体系的拓展,实现在数据安全、隐私合规方面,继ISO 29151个人身份信息保护实施指南认证之后的又一里程碑式进展。


    (左: 顺丰信息安全与内控中心负责人 刘新凯 右:DNV GL管理服务集团南中国区业务发展总监 朱钢)

    认证覆盖的范围

    顺丰作为一家体量庞大的物流公司,由于实名制寄件、派件、报关等业务需要,必须采集大量个人敏感信息。因此,隐私安全一直是顺丰在业务拓展及科技驱动发展转型中不可忽视的重要组成部分以及数据安全底线。
    本次ISO 27701认证范围是为顺丰提供科技底盘的顺丰科技有限公司。其支撑的业务范围涵盖所有常规快递业务、国际业务、快运业务、同城业务、冷运业务、仓储业务等。

     

    认证对于顺丰的重要性

    ISO 27701认证的顺利通过,是对顺丰在隐私合规建设方面长期大量投入所得到成果的肯定。顺丰一直致力于保护客户隐私数据,并始终根据法律法规的要求、客户向我司提出的要求与建议,努力践行国家、客户赋予我们的隐私保护责任与义务。
    顺丰在隐私合规方面的持续投入

    从顺丰科技成立之初,即构建专门的信息安全团队,从管理及技术层面全方位保护客户利益。基于对当前大数据环境下数据安全重要性的认知,顺丰信息安全部门成立了数据安全组,专注于保护客户及公司数据,促进顺丰数据安全合规性建设。

    至今,顺丰重要在线业务系统、核心营运系统、大数据平台等均高分通过等保三级认证,顺丰科技获得ISO 29151个人身份信息保护实施指南认证。在ISO 27701标准发布后立即组织专业团队开展标准解读及合规建设工作,并在短期内顺利通过标准认证,成为全球首家通过此标准认证的物流企业。

    顺丰长期坚持对数据安全、隐私合规的投入,包括对《网络安全法》、《个人信息安全规范》、《APP违法违规收集使用个人信息自评估指南》、《数据出境安全评估指南》、GDPR、ISO 29100、ISO 29151、ISO 29134、ISO 27701等一系列与数据安全、隐私合规相关的国内、国际标准或指南进行解读、对标,且针对2019年10月底刚刚正式发布的《中华人民共和国密码法》,顺丰也已开展密码合规排查工作。

    此外,顺丰积极参加隐私保护交流,参与国家相关标准制定,每年举办信息安全峰会,并在今年峰会上正式推出“粹御”数据安全管理系统,通过数据资产管理、隐私数据管理、数据脱敏管理、数据追溯管理及数据加密管理五大模块功能,为企业提供覆盖数据资产从创建/采集、存储,从数据传输、交换到数据使用,再到具体数据保护场景的整体数据安全解决方案。秉承着开放包容、互利互惠的态度,与各大互联网公司、安全厂商进行深度交流与合作,探索物流行业甚至跨行业隐私安全最佳实践,并致力于引领行业隐私合规发展。

     

    ISO 27701介绍

    近年来,因隐私泄露或隐私数据超范围使用对隐私数据所属个人或所属组织造成的负面影响范围逐渐扩大。各国政府及标准机构纷纷针对数据安全、隐私合规出台相关法律法规及隐私保护标准,例如中国出台的《网络安全法》、《个人信息安全规范》,欧盟出台的《通用数据保护条例》(GDPR),美国加州《加州消费者隐私法案》(CCPA)等,用于规范并促进隐私合规建设。

    2019年8月,ISO(国际标准化组织)和IEC(国际电工委员会)正式发布ISO/IEC 27701:2019隐私信息管理体系标准。该标准以ISO/IEC 27001和ISO/IEC 27002为基础,通过将隐私保护原则及控制措施导入信息安全管理体系(ISMS)——区别于ISO 29151(个人身份信息保护实施指南)仅对ISO 27002在隐私安全实施方面增加扩展要求——首次真正意义上构建出具有PDCA完整运行闭环的隐私信息管理体系。

    同时,ISO 27701标准附录中,对已发布的多个国际隐私标准,如ISO/IEC 29100、GDPR、ISO/IEC 27018、ISO/IEC 29151进行了要求映射,为多隐私体系融合建设提供了基础,同时成为企业对于欧盟GDPR等隐私标准合规性的重要参考。