一、简介
2019年8月,iso组织正式发布了iso/iec 27701,安全技术——扩展的iso/iec 27001和iso/iec 27002 隐私信息管理要求和指南。
该标准建立在iso/iec 27001要求的基础之上,在隐私方面提供了必要的额外要求。规定了建立、实施、维护和持续改进隐私相关所特定的信息安全管理体系的要求。换句话说,就是保护个人信息的管理体系(以下简称pims)。
iso/iec 27701标准的正文由8个条款组成,其中:
条款1-4,给出了标准范围、术语、定义等
条款5给出了iso 27001相关的pims要求
条款6给出了iso 27002相关的pims指南
条款7给出了针对pii控制者的iso 27002扩展指南
条款8给出了针对pii处理者的iso 27002扩展指南
附录a,针对pii控制者的pims特定的控制目标和控制措施
附录b,针对pii处理者的pims特定的控制目标和控制措施
附录c,与iso/iec 29100的对应
附录d,与gdpr的对应
附录e,与iso/iec 27018和iso/iec 29151的对应
附录f,如何在iso/iec 27001和iso/iec 27002的基础上实施iso/iec 27701
iso 27701的前身为iso/iec 27552,由iso/iec技术委员会iso/iec jtc1/sc 27, information security, cybersecurity and privacy protection第五工作组开发,该工作组由来自世界各地的数据保护机构、安全机构、学术界和工业界的组成。
几乎每个组织都处理个人身份信息(pii),保护pii不仅是法律要求,也是需要。随着与隐私和数据保护相关的投诉和罚款数量的增加,对这一标准的需求现在是显而易见的。法国保护个人资料独立监察机构资讯及自由委员会的matthieu grall是sc 27的积极参与者,并对该标准的发展作出了贡献。他说,随着越来越严格的数据保护要求和法律,我们看到了对这一标准的强烈需求。此外,组织需要给他们的监管机构、合作伙伴、客户和雇员带来信任。这样的标准将有力地促进这种信任。
二、iso27701认证的主要目标是什么
通过pims的扩展以及与隐私相关的控制来增强现有的信息安全管理体系(1sms),简化复杂的重叠隐私法的管理,创建一个以证据为基础的隐私计划,并通过公认的认证形式表明该计划的合规性,并作为潜在的gdpr合规性的基础。
现在发布的iso27701认证标准还实现了其他一些目的。一方面,它充当pims与isms或iso27001之间关系和连接的概述。它还详述了所需的功能,并列出了pims数据处理器和控制器的隐私控制。在更大范围内,iso27701认证将信息隐私要求映射到相关的iso标准和gdpr。
三、iso27701认证的好处
iso/iec27701该标准为企业和其他组织提供了一个通用的隐私信息管理工具,对于降低企业隐私合规难度,便利企业提供合规证明,增强各方对企业的信任程度具有重要意义。
实施隐私信息管理,至少获得如下收益:
1)合规。通过明确对pii处理者的隐私保护要求,可以明确隐私保护管理合规目标,减轻组织合规负担的同时降低组织合规风险,iso27701标准附录d中明确表示,单个隐私控制点可以满足gdpr中的多项要求,满足了iso27701 标准也就意味着基本满足 gdpr 的要求,而gdpr 是众多隐私保规中为严格的,也就意味着满足了即将颁布的《隐私保》的系列要求。
2)完善数据安力和风险管理。实现持续的完善产品的非功能性要求,进而展示出产品在处理个人隐私安全、安全治理的绩效,通过流程分析,在流程的输入、输出、控制过程中,识别、分析、验证隐私保护需求、传递隐私保护价值,减少甚至消除隐私泄露的风险,如:体现为采用隐私控制技术(如日志脱敏、数据库加密)、产品架构(如加密芯片)、技术路径(如完整性校验)等。
3)pims认证可以传递信任。客户或合作伙伴,尤其是组织、金融机构作为承担隐私风险的机构,通常会要求pll处理者提供相关证据(如pia分析报告)。从而证明p1处理者的产品能符合话用的隐私管理体系要求。通过得到授权的第三方机构对p1外理者进行甚干标准的宙核,可以极大地降低合规沟通成本,这种合规透明度的提高对干组织战略和业务决策至关重要,同时pims认证中有助于向公众传达组织的可信度。
上海浙江杭州宁波温州金华江苏苏州南京南通徐州安徽合肥安庆江西南昌赣州福建福州泉州湖北武汉荆州襄阳湖南长沙湘潭贵州贵阳云南昆明广西南宁甘肃兰州宁夏银川陕西西安山西太原山东济南青岛烟台北京天津辽宁沈阳吉林长春黑龙江哈尔滨内蒙古包头新疆乌鲁木齐兰州西安太原郑州合肥南昌长沙ISO27701隐私信息管理体系