ISO27701認證隱私管理體系
文章來源:http://www.j9979.cn
發(fā)布時間:2021-01-05
瀏覽次數(shù):89
2021年1月5日���,ISO 27701 源自 ISO/IEC 27552�����,為建立、實現(xiàn)�、維護和持續(xù)改進隱私信息管理系統(tǒng) (PIMS) 提供具體要求和指南,令 PIMS 作為 ISO 27001 中定義的靈活信息安全管理系統(tǒng) (ISMS) 的擴展���,在信息安全的基礎(chǔ)上將處理 PII 所需的隱私保護納入考慮�。與 ISO 27001 標準類似���, ISO 27701 不期望組織機構(gòu)在所有情況下采納每一條控制�����。相反���,該標準要求組織機構(gòu)理解自身 PII 處理的具體上下文�����,以適合其處理活動的方式調(diào)整特定控制集和與之相關(guān)的實現(xiàn)�。
為更好地理解新標準���,需要弄清兩個關(guān)鍵術(shù)語:控制者和處理者。這兩個術(shù)語在很多隱私法律和規(guī)定中都能見到�,包括 GDPR。通常���,“控制者” 是指示為什么要收集和處理 PII 的實體���,“處理者” 是代表該控制者負責處理此數(shù)據(jù)的另一個法律實體(非員工)。
新發(fā)布的標準適用于 PII 控制者(及聯(lián)合控制者)和處理者(包括下級處理者)�,無論其運營的行業(yè)和司法轄區(qū),也包括到 GDPR 和 SO/IEC 29100�、ISO/IEC 27018 及 ISO/IEC 29151 安全框架的映射。預(yù)計 ISO 27701 要求還將映射到其他隱私法律�����,如《2018 加州消費者隱私法案》(CCPA)、《金融服務(wù)現(xiàn)代化法案》(GLBA) 和《健康保險流通與責任法案》(HIPAA) 等�����,通過提供通用的合規(guī)標準幫助組織機構(gòu)更好地符合這些監(jiān)管要求�����。
ISO 27701 合規(guī)首先要求 ISO 27001 合規(guī)�����。二者互為補充�。遵從 ISO 27701 要求的組織機構(gòu)會留下其 PII 處理方式的書面證據(jù),可用于推動與商業(yè)合作伙伴就 PII 處理問題簽訂協(xié)議���,明確該組織機構(gòu)與其他利益相關(guān)者間的 PII 處理方式�。盡管 GDPR 尚未確立官方認證方法�,近期報告表明,ISO 27701 或可在近期改變這一現(xiàn)狀�。
已經(jīng)通過 ISO 27001 認證,希望實現(xiàn) ISO 27701 要求的組織機構(gòu)�����,可以考慮采取下列步驟:
1. 按照 ISO 27701 的要求對現(xiàn)有 ISMS 執(zhí)行漏洞評估,生成如何解決這些漏洞的行動計劃�。
2. 對組織機構(gòu)收集的 PII 執(zhí)行數(shù)據(jù)映射,了解所收集 PII 的范圍�,弄清處理者共享和使用 PII 的方式。
3. 依據(jù)上下文相關(guān)的內(nèi)部或外部因素���,比如適用的隱私立法���、規(guī)定、司法判決或合同要求等�,確定組織機構(gòu)作為控制者和/或處理者的角色。
4. 審核并更新隱私政策�����,確保含有所要求的信息���。
5. 制定適用于該組織機構(gòu)角色的策略和規(guī)程。
6. 開始規(guī)劃和實現(xiàn)設(shè)計隱私與默認隱私原則�。
深圳新世紀顧問有限公司辦理ISO27701認證,�����,流程快。
