购物车(
0
)
隐私信息管理体系ISO/IEC 27701标准解析
随着社交媒体APP和物联网设备在生活中的广泛应用,以及全球隐私法律法规的激增,诸如:《欧盟通用数据保护条例》(GDPR)、《加州消费者隐私法》(CCPA)和《中国网络安全法》(China network security Law),隐私保护问题已然成为了当前社会的焦点,这意味着组织现在面临着来自客户、最终用户、投资者和监管机构的多重压力,企业如何管理个人可识别信息(PII)或个人数据,如何确保隐私合规,都成为摆在企业面前亟待解决的新问题和新挑战。
隐私的概念经常被误解或被错误地对待。许多企业认为,不将数据传递给第三方并确保其数据库受密码保护就足够了。诸如“同意”、“托收目的”或“跨境转移”等概念要么被忽视,要么不被理解。针对GDPR和CCPA的严厉罚款让许多组织已经意识到了这些风险,并开始注重其隐私保护。
2019年8月发布的隐私安全标准ISO/IEC 27701:2019,能帮助企业拓展ISO/IEC 27001体系对保护隐私的局限性,更全面、准确、充分地应对隐私保护及合规要求。
我们先来看看ISO/IEC 27701:2019 标准的结构及其与 ISO/IEC 27001 和 ISO/IEC 27002之间的关系。
ISO/IEC 27701:2019的正式名称为安全技术--ISO/IEC 27001 和 ISO/IEC 27002 对隐私信息管理的扩展--要求和指南。其以ISO/IEC 27001 和 ISO/IEC 27002 对隐私信息管理的扩展方式,为在组织范围内建立、实施、维护和持续改进隐私信息管理体系(PIMS)指定要求,并提供指南。
与ISO/IEC 27001 配合使用,是认证要求和实施指南的组合体。 它是对ISO/IEC 27001 的扩展,因其增加了附加的PIMS 相关要求,如条款5、附录 A 和附录 B。认证要求在标准中共有67项,表述为'应'。同时,为组织实施 PIMS,还增加了从ISO/IEC 27002 到 PIMS的附加指南,例如条款6、7和8。
一表了解ISO/IEC 27701:2019 标准的详细结构:
|
条款 |
条款标题 |
备注 |
|
1 |
范围 |
标准的适用性 |
|
2 |
规范性引用文件 |
标准参考 |
|
3 |
术语、定义和缩写 |
|
|
4 |
总则 |
标准结构的描述 |
|
5 |
与 ISO/IEC 27001 相关的PIMS特定要求 |
在ISO/IEC 27001中要求的 |
|
6 |
与 ISO/IEC 27002 相关的PIMS特定指南 |
在ISO/IEC 27002中PIMS |
|
7 |
对PII控制者附加的ISO/IEC 27002指南 |
对PII控制者的 |
|
8 |
对PII处理者附加的ISO/IEC 27002指南 |
对PII处理者附加的 |
|
附录 A |
(规范性附录) |
强制性控制,适用于数据控制者 |
|
附录 B |
(规范性附录) |
强制性控制,适用于数据处理者 |
|
附录 C |
与ISO/IEC 29100的对照关系 |
非认证的、信息性的附录 |
|
附录 D |
与通用数据保护条例(GDPR)的对照关系 |
|
|
附录 E |
附录 E(信息性) |
|
|
附录 F |
如何将ISO/IEC 27701 |
主要条款详情:
条款5与ISO/IEC 27001相关的PIMS特定要求
涵盖了对ISO/IEC 27001:2013条款4-10附加的要求,均为认证要求。例如,如本标准中条款5.7.2 的表述:
ISO/IEC 27001:2013,9.2中所述要求以及5.1中所述的解释均适用。该标准不增加任何新的内部审核要求,只要组织理解这是ISO/IEC 27001:2013对处理个人可识别信息(PII)所可能增加风险的"信息安全"要求。
ISO/IEC 27701:2019对ISO/IEC 27001的以下条款增加了附加的要求:
|
4.1 |
理解组织及其环境 |
|
4.2 |
理解相关方的需求和期望 |
|
4.3 |
确定信息安全管理体系的范围 |
|
6.1.2 |
信息安全风险评估 |
|
6.1.3 |
信息安全风险处置 |
条款6 与ISO/IEC 27002相关的PIMS特定指南
涵盖了与ISO/IEC 27002有关的其他PIMS相关指南。例如,标准条款6.9.4.4(与 ISO/IEC 27001:2013 的12.4.4 时钟同步相对应)不包含任何附加要求,因为时钟同步与隐私风险没有相关性。另一方面,标准条款6.9.3.1 (与 ISO/IC 27001:2013 的12.3.1 信息备份相对应)则增加较多的隐私管理指南,因为信息备份可能存在隐私风险,例如数据保留期、跨境数据传输等。下表总结了 ISO/IEC 27002 各个领域中的控制点的数量。在 ISO/IEC 27002 中,共对32项新的控制点进行了修订。与ISO/IEC 27002一样,条款6中的指南为非认证条款。
|
ISO/IEC 27002条款 |
修订的控制点数量 |
ISO/IEC 27002条款 |
修订的控制点数量 |
|
5 |
1 |
12 |
3 |
|
6 |
2 |
13 |
2 |
|
7 |
1 |
14 |
5 |
|
8 |
5 |
15 |
1 |
|
9 |
3 |
16 |
2 |
|
10 |
1 |
17 |
0 |
|
11 |
2 |
18 |
4 |
条款7 对PII控制者附加的ISO/IEC 27002指南
为 PII 控制者提供指南。对于 PII 控制者所需的所有控制点都列在标准的附录A 中。这些控制点是规范性的,这意味着如果组织作为控制者,则应实施这些控制(参见如下认证中的 PII 控制者与PII 处理者)。条款7中所提供的指南有助于组织实施这些控制。然而,这些指南为非认证性的。
|
条例 |
控制方面 |
控制点数量 |
|
A. 7.2 |
数据收集和处理的条件 |
8项控制 |
|
A. 7.3 |
(应履行)对PII所有者的义务 |
10项控制 |
|
A. 7.4 |
从设计开始保护隐私和默认保护隐私 |
9项控制 |
|
A. 7.5 |
PII 信息的共享、转让和披露 |
4项控制 |
条款8 对PII处理者附加的ISO/IEC 27002指南
为 PII 处理者提供指南。本标准附录 B 列出了 PII 处理者的控制点。与附录 A 相似,如果组织作为处理者,这些控制点是规范性的。条款8的指南是非认证性的。
|
条例 |
控制方面 |
控制点数量 |
|
B. 8.2 |
数据收集和处理的条件 |
6项控制 |
|
B. 8.3 |
应履行对PII所有者的义务 |
1项控制 |
|
B. 8.4 |
从设计开始保护隐私和默认保护隐私设置 |
3项控制 |
|
B. 8.5 |
PII 信息的共享、转让和披露 |
8项控制 |
企业获得 ISO/IEC 27701 认证的益处
获取客户关于组织对隐私信息管理方面的信任,以获得潜在业务;
证实组织对其产品和服务目标市场所在地隐私法规的遵从,获得所在地的市场准入;
向相关方证实其在隐私管理方面的能力和符合性;
组织自身为证实其在隐私管理方面的能力和符合性。
以上是隐私信息管理体系的部分科普内容,如需第一时间掌握更多标准科普信息,请持续关注我们,您还可以扫描下方二维码,填写信息后即可下载ISO/IEC 27701:2019相关的详细资料!
SGS作为国际公认的检验、鉴定、测试和认证机构,在全球IT领域率先成立了网络实验室及GDPR 方案解决中心,并且是颁发全球第一张ISO 22301认证证书的第三方机构。
SGS秉持务实、创新的精神,已为众多知名品牌企业提供IT相关的认证及培训服务,如:DHL 、飞利浦、青莲云等,我们提供的服务解决方案,助力您的企业合规发展:
1. ISO/IEC 27701认证
2. 已通过ISO/IEC 27001认证有计划与ISO/IEC 27701同时认证
3. 为期两天的ISO/IEC 27701培训
4. 为期四天的ISO/IEC 27001+ISO/IEC 27701培训
5. GDPR培训
6. 针对特定或当地隐私法规的其他培训、解决方案
- 信息安全推动智能终端发展 元气森林获ISO/IEC 27001及ISO/IEC 27701双体系认证证书
- “IMPACT NOW”通过ISO 14001与ISO 50001助力企业踏上可持续发展之路
- @所有人 | IATF Rules新版规则主要变化汇总,请查收!
- 案例 | SGS通标为深业鹏基、深业南方颁发合规管理体系认证证书
- SGS成为中国首家获得FSC®欧盟零毁林法案EUDR法规模块认可的认证机构
- 洞见ESG | 可持续信息披露“重要性”原则:快速入门与深度解读
- 标准聚焦 | ISO 30415人力资源管理—多元化与包容性(D&I)认证
- 行业快讯|ESG国内国际政策汇编 第一期
- 洞见ESG | ECOVADIS评级:企业可持续发展的加速器
- ISO 55013数据资产管理体系认证,助力企业数据资产从管理到变现!
