2023年8月6日,國際標準化組織(ISO)和國際電工委員會(IEC)發(fā)布了ISO/IEC 27701(ISO27701),這是ISO/IEC 27001和ISO/IEC 27002的隱私擴展,旨在幫助組織保護和控制他們處理的個人信息。 類似于現(xiàn)有的ISO標準ISO27701補充,此新的ISO標準可能成為組織保護個人身份信息(PII)的事實上的護理標準,并且可以用來證明其遵守全球隱私法規(guī),包括通用數(shù)據(jù)保護法規(guī)(EU)2016/679(GDPR)。
這一新標準是實現(xiàn)安全合規(guī)的“錦上添花”。 眾所周知的ISO27001構(gòu)成了基礎,而新的ISO27701認證則在此基礎上進行了構(gòu)建,以提供一套全面的信息安全和個人信息保護控制措施。
什么是ISO27701?
ISO27701認證最初開發(fā)為ISO/IEC 27552,它為建立,實施,維護和持續(xù)改進隱私信息安全管理體系(PIMS)提供了特定要求和指導,作為對ISO27001中定義的靈活信息安全管理體系(ISMS)的擴展。除了信息安全之外,還應考慮到處理PII所需的隱私保護。 像ISO27001認證標準一樣,ISO27701認證并不希望組織在所有情況下都采用每種控件。 相反,它要求組織了解處理PII的特定上下文,并以適合其處理活動的方式調(diào)整特定的控件集以及這些控件的相關(guān)實現(xiàn)。
為了更好地理解新標準ISO27701認證,應該理解兩個關(guān)鍵術(shù)語:控制器和處理器。 這些術(shù)語可在包括GDPR在內(nèi)的許多隱私法律和法規(guī)中找到。 通常,“控制者”是指示首先收集和處理PII的原因的實體,“處理者”是負責代表該個人處理此類數(shù)據(jù)的獨立法律實體(即,不是雇員)。
簡而言之,ISO27701認證是ISO27001認證的增強擴展。該標準可以提供通用數(shù)據(jù)保護法規(guī)(GDPR)要求的數(shù)據(jù)隱私和信息安全標準。 為了有效地管理隱私,它包含用于個人身份信息(PII)處理器和控制器的結(jié)構(gòu)。 實施ISO27701將創(chuàng)建一個隱私信息安全管理體系,簡稱PIMS。
使用ISO27701認證作為數(shù)據(jù)安全性標準,可以向客戶和利益相關(guān)者展示您的公司支持GDPR合規(guī)性和隱私法規(guī)。 此外,它還可以確保您擁有他們可以信任的有效系統(tǒng)。 通過使用控件降低個人和公司的潛在信息安全和隱私風險,您可以創(chuàng)建一個更值得信賴的品牌。
新發(fā)布的ISO27701認證標準既適用于PII的控制器(以及聯(lián)合控制器),也適用于PII的處理器(包括子處理器),而不管其運營所在的管轄區(qū)和部門如何,并且還包括對GDPR和ISO/IEC的映射29100,ISO/IEC 27018和ISO/IEC 29151安全框架。 應預料到將ISO27701要求映射到其他隱私法律,例如2018年《加利福尼亞消費者隱私法案》(CCPA),GLBA和HIPAA,并將通過提供證明遵守這些監(jiān)管制度的通用標準來幫助組織。
ISO27701認證的目的是什么?
由于ISO27701是一種PIMS,因此其目的主要與數(shù)據(jù)隱私和安全性有關(guān)。 它專門包含隱私控制和實踐的框架和要求。 ISO27701是ISO27001的擴展,因此對于希望實施PIMS的公司而言,后者是必需的。
ISO27701認證的主要目標是:
通過PIMS的擴展以及與隱私相關(guān)的控制來增強現(xiàn)有的信息安全管理體系(ISMS),簡化復雜的重疊隱私法的管理,創(chuàng)建一個以證據(jù)為基礎的隱私計劃,并通過公認的認證形式表明該計劃的合規(guī)性,并作為潛在的GDPR合規(guī)性的基礎。
現(xiàn)在發(fā)布的ISO27701認證標準還實現(xiàn)了其他一些目的。 一方面,它充當PIMS與ISMS或ISO27001之間關(guān)系和連接的概述。它還詳述了所需的功能,并列出了PIMS數(shù)據(jù)處理器和控制器的隱私控制。 在更大范圍內(nèi),ISO27701認證將信息隱私要求映射到相關(guān)的ISO標準和GDPR。
下面提供了適用于控制器和處理器的某些關(guān)鍵ISO27701認證關(guān)鍵要求的高級概述。
ISO27701認證對適用于控制器和處理器的要求
1)機密性--被授權(quán)訪問PII的個人必須簽署保密協(xié)議。
2)分析風險--必須進行隱私風險評估以識別PII處理風險。
3)監(jiān)督--組織必須任命一個負責制定,實施,維護和監(jiān)視其治理和隱私計劃的人員。
4)培訓--需要對有權(quán)使用PII的人員進行隱私意識培訓。
5)內(nèi)部流程--組織必須采用各種政策和程序,例如針對違反PII的事件響應計劃。
6)保持記錄--ISO27701要求組織保留所有PII處理活動的記錄,包括管轄區(qū)之間的PII轉(zhuǎn)移和向第三方的披露。
ISO27701認證對控制器特定要求
1)隱私權(quán)聲明--組織必須提供隱私政策,其中包含有關(guān)PII收集,使用和處理的特定信息。
2)處理器合同要求--組織必須與處理者簽訂書面合同,處理特定項目,例如保護PII,將處理限制為收集PII的特定目的,并提供違反PII的通知。
3)個人權(quán)利--ISO27701要求組織實施各種機制,以容納個人訪問,更正和刪除其PII的權(quán)利,以及反對或限制PII的處理等。
4)設計和默認情況下的隱私--組織必須采取措施,通過設計使隱私原則和默認情況下的隱私原則付諸實踐。
ISO27701認證對處理器特定要求
1)加工限制--組織必須僅根據(jù)控制器或處理器的書面說明來處理PII(取決于客戶的角色)
2)協(xié)助個人權(quán)利--ISO27701要求加工商采取措施,協(xié)助客戶遵守個人權(quán)利。
3)轉(zhuǎn)讓和披露--加工商必須提前將司法管轄區(qū)之間的PII轉(zhuǎn)移或其任何預期變更告知客戶。
4)分包商--ISO27701要求加工商僅根據(jù)客戶合同的條款聘用分包商來處理PII。
ISO27701認證的好處
符合ISO27701認證首先要求符合ISO27001的要求。它們旨在相互補充。 遵循ISO27701認證要求的組織將創(chuàng)建有關(guān)其如何處理PII的書面證據(jù),可用于促進與PII的處理相關(guān)的業(yè)務伙伴的協(xié)議,并闡明組織與其他利益相關(guān)者的PII的處理。 盡管GDPR尚無認可的認證方法,但根據(jù)最近的報道,ISO27701認證可能會在不久的將來改變這一現(xiàn)狀。
如何實施ISO27001認證?
要求供應商代表他們處理和維護PII的客戶應考慮合同規(guī)定這些供應商不僅要遵守ISO27001,而且要符合ISO27701,或者在適用于數(shù)據(jù)敏感性的情況下獲得ISO27701標準的認證。 即使客戶不要求供應商通過獨立的第三方認證也符合新標準ISO27701認證,他們?nèi)钥赡芟M潞贤源_保供應商可以符合ISO27701認證的要求。由于ISO27701認證仍然非常對于新合同,賣方應遵守本新標準的規(guī)定合理的時間延遲,以便將其包括在這些合同中。
已通過ISO27001認證并希望實施ISO27701要求的組織應考慮采取以下步驟:
1)對現(xiàn)有ISMS進行符合ISO27701認證要求的差距評估,并就如何解決這些差距制定行動計劃。
2)對組織收集的PII進行數(shù)據(jù)映射,以了解收集的PII的范圍以及如何使用和與處理器共享。
3)根據(jù)與組織環(huán)境相關(guān)的內(nèi)部或外部因素(例如適用的隱私法規(guī),法規(guī),司法決定或合同要求)確定組織作為控制者和/或處理者的角色。
4)查看并更新隱私策略,以確保它們包含必需的信息。
5)制定適用于組織角色的政策和程序。
6)通過設計和默認原則開始規(guī)劃和實施隱私。
在世界各地,立法者和監(jiān)管者都在引入新的法律來規(guī)范數(shù)據(jù)的使用,尤其是PII。 最近,GDPR的出現(xiàn)使許多企業(yè)(包括客戶和供應商)爭相達成合規(guī)性。 不斷變化的法律環(huán)境給所有企業(yè)帶來了挑戰(zhàn),尤其是必須遵守多個司法管轄區(qū)法規(guī)的企業(yè)。 新的ISO27701認證標準不會嘗試單獨和本地處理每項新法律,而是提供一種統(tǒng)一的方式來決定,計劃,實施和記錄組織在全球范圍內(nèi)的數(shù)據(jù)隱私方法。
無論組織的規(guī)模大小,是PII的控制者還是處理者,企業(yè)都應考慮為自己的組織或向供應商要求獲得ISO27701認證。 對于處理敏感或大量PII的處理器,子處理器和聯(lián)合控制器尤其如此。
中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢,檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu),儀器設備、耗材、配件、試劑、標準品供應商,法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊,包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息,中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導等知識。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心
免責聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請跟我們聯(lián)系刪除并致歉!
