盡管GDPR生效已超過一年,但迄今為止,還沒有針對它的認證標準。 Coalfire的David Forman探索了新發(fā)布的ISO 27701如何與GDPR保持一致,以及將其用作GDPR認證標準的可能性和后果。
2023年8月6日,國際標準化組織(ISO)提前五個月發(fā)布了ISO / IEC 27701:2019(ISO 27701)標準。 此版本是第一個國際隱私標準; 它概述了實施組織計劃(稱為隱私信息管理系統(tǒng)(PIMS))以管理對個人身份信息(PII)進行處理的要求。
ISO 27701是第一個引用非ISO實際開發(fā)的外部框架或出版物的ISO標準。 在這種情況下,外部參考不過是標題為歐盟通用數(shù)據(jù)保護條例( GDPR )的標題。 考慮到隱私問題的歷史和現(xiàn)狀,全球隱私法規(guī),實施以及ISO 27701的當前通過,必須考慮ISO 27701是否可以成為GDPR的認證途徑。
要了解該標準對證明遵守隱私規(guī)則可能產生的影響,我們必須首先研究自GDPR引入以來監(jiān)管機構對隱私觀點的演變,這在為數(shù)據(jù)主體權利設定新的基準和解釋方面具有變革性。
自2018年5月生效以來,由于人們認為對PII的保護不當或疏忽,違反GDPR的行為對谷歌,F(xiàn)acebook,萬豪和英國航空等公司造成了巨額罰款。
為了捍衛(wèi)數(shù)據(jù)保護機構(希望證明其執(zhí)行GDPR的能力)所針對的這些早期示例:
如果無法完全減輕風險的定義,那么這些跨國公司如何獲得任何保證,以確保自己已盡力遵守該法律?
現(xiàn)代安全員應該客觀地展示什么,以向董事會保證他們具有可接受的保護水平?
如果仍然普遍將安全性和隱私保護誤認為是同一控制活動的輸出,那么數(shù)據(jù)保護官(DPO)的這一新角色實際上會產生什么影響?
組織已經嘗試對GDPR進行進一步的解釋和澄清,盡管GDPR第42條明確規(guī)定了“認證機制”,但仍沒有認可的確定合格性的方法(但未闡明)。
隨著越來越多的數(shù)據(jù)保護機構(如國家信息自由委員會(CNIL)和信息專員辦公室(ICO))面臨壓力,要求它們迅速采取調查行動并就GDPR的解釋提供評論,CNIL的出現(xiàn)是非常特殊的法國國家數(shù)據(jù)保護局,在上個月的標準制定會議上在新加坡舉行的技術委員會中派代表參加了會議,討論了ISO 27701的最終修訂和發(fā)布。
在檢查會議記錄時,主要討論重點是通過重新編號國際標準并將這些新要求映射到GDPR來推動PIMS的快速采用。 技術委員會能夠(也許很方便)使GDPR中的所有條款與ISO 27701保持一致,但第43條除外,該條款詳細規(guī)定了為GDPR提供認證的機構或各種認證計劃的要求,以確保標準審核員保持某種形式的統(tǒng)一。
盡管ISO 27701尚不受英國認證服務局(UKAS)或ANSI國家認證委員會(ANAB)等認證機構的監(jiān)管,但盡管未定義既定的計劃,但預計認證機構將開始根據(jù)這一新的國際標準進行審核在國際認證論壇(IAF)級別。
在許多方面,該認證機制已經過時,因為定義該計劃的法律已經生效了一年多。 如果通過任何數(shù)據(jù)保護機構的認可,PIMS成為“ GDPR認證”的代名詞,組織將最終擁有一種方法,可以通過第三方審核客觀地證明其符合性。
此外,通過定期獨立檢查的經認證合規(guī)計劃,將對該行業(yè)產生許多下游影響,包括在GDPR相關調查中提供更好的辯護; 對隱私法,產品和技術支持進行更詳盡的說明; 以及更多客觀信息,供保險承保人確定風險。
這項新標準是對與隱私相關的風險進行持續(xù)管理的重要里程碑,并且是隨著組織環(huán)境的發(fā)展而提倡成熟流程的替代規(guī)范性參考。 由于現(xiàn)有認可要求與那些在GDPR中提供認證的機構詳細規(guī)定的條款重疊,因此合格評定機構可能會被利用來對該新標準進行立即審核和評估。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規(guī)知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規(guī),咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質量認證中心
免責聲明:本文部分內容根據(jù)網絡信息整理,文章版權歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯(lián)系刪除并致歉!
