ISO27701 隱私信息管理

專(zhuān)業(yè)服務(wù)保障
一對(duì)一全程指導(dǎo)
高效快捷體驗(yàn)

隱私信息管理體系從個(gè)人信息的收集、保存、傳輸、處置、使用、共享、轉(zhuǎn)讓、披露和委托處理等多個(gè)方面提高和完善組織的個(gè)人信息安全管理能力。

在線咨詢(xún)

產(chǎn)品介紹

一、背景介紹
大數(shù)據(jù)時(shí)代的到來(lái)，為我們帶來(lái)了空前的便利，隨著大數(shù)據(jù)在各個(gè)領(lǐng)域的滲透逐漸加深，個(gè)人隱私泄露的風(fēng)險(xiǎn)也愈加嚴(yán)重，人們對(duì)信息安全的關(guān)注日益提升，全球多個(gè)國(guó)家和地區(qū)相繼出臺(tái)了一系列隱私保護(hù)的法律法規(guī)，當(dāng)前幾乎所有的組織都有處理個(gè)人信息 (PII) 的情況，保護(hù)PII不僅是法律要求，也是社會(huì)需要。
因此，新標(biāo)準(zhǔn)ISO/IEC 27701隱私信息管理體系應(yīng)勢(shì)而生。助力組織為GDPR合規(guī)展現(xiàn)、保護(hù)用戶(hù)隱私和個(gè)人信息合規(guī)管理提供了更多相關(guān)指南。2019年8月6日，國(guó)際標(biāo)準(zhǔn)化組織ISO和國(guó)際電工委員會(huì)IEC正式對(duì)外發(fā)布ISO/IEC 27701隱私信息管理體系標(biāo)準(zhǔn)。這標(biāo)志著信息安全、隱私與個(gè)人信息保護(hù)，在國(guó)際間法律與法規(guī)的合規(guī)展現(xiàn)有了一致性的標(biāo)準(zhǔn)。
該標(biāo)準(zhǔn)填補(bǔ)了目前隱私信息管理體系的空白，將隱私保護(hù)的原則、理念和方法，融入到信息安全保護(hù)體系中，并且對(duì)PII控制者和PII處理者進(jìn)行了較為詳細(xì)且落地性強(qiáng)的規(guī)定，細(xì)化了隱私信息管理的要求，給組織在隱私保護(hù)和信息安全方面給出了指導(dǎo)建議。作為一個(gè)國(guó)際通用的隱私信息管理工具，能夠有效的協(xié)助組織對(duì)隱私風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析，采取措施將風(fēng)險(xiǎn)降到可接受水平并維持該水平，并建立隱私保護(hù)體系，從管理與技術(shù)等多方面滿(mǎn)足國(guó)內(nèi)外的監(jiān)管合規(guī)要求。
二、認(rèn)證價(jià)值
通過(guò)明確對(duì)PII控制者和處理者的隱私保護(hù)要求，可以使組織明確隱私保護(hù)管理合規(guī)目標(biāo)，減輕組織合規(guī)負(fù)擔(dān)的同時(shí)降低組織合規(guī)風(fēng)險(xiǎn)。
實(shí)現(xiàn)持續(xù)的個(gè)人隱私安全合規(guī)對(duì)于任何組織都是一個(gè)安全治理的課題，ISO/IEC 27701通過(guò)建立PIMS，可以確保組織高級(jí)管理層、組織所有者以及關(guān)鍵相關(guān)方的利益滿(mǎn)足隱私保護(hù)要求，從而使組織實(shí)現(xiàn)長(zhǎng)期、持久的個(gè)人隱私安全合規(guī)。
PIMS認(rèn)證可以向組織客戶(hù)或合作伙伴傳達(dá)隱私合規(guī)價(jià)值。PII控制者通常會(huì)要求PII處理者提供相關(guān)證據(jù)，從而證明PII處理者的隱私管理體系符合適用的隱私管理要求。通過(guò)得到授權(quán)的第三方機(jī)構(gòu)對(duì)PII處理者進(jìn)行審計(jì)驗(yàn)證，基于國(guó)際標(biāo)準(zhǔn)的統(tǒng)一證據(jù)框架可以極大地降低合規(guī)溝通成本，這種合規(guī)透明度的提高對(duì)于組織戰(zhàn)略和業(yè)務(wù)決策至關(guān)重要，同時(shí)PIMS認(rèn)證也有助于向公眾傳達(dá)組織的可信度。
三、適用范圍
ISO/IEC 27701嵌套在ISO/IEC 27000系列中，并要求符合ISO/IEC 27001標(biāo)準(zhǔn)。適用于所有類(lèi)型和規(guī)模的需要對(duì)個(gè)人身份信息進(jìn)行管理的任何組織，如銀行、保險(xiǎn)公司、電信公司、航空公司、數(shù)據(jù)中心、代理商、非政府組織、醫(yī)院和學(xué)校等。
四、標(biāo)準(zhǔn)簡(jiǎn)介
ISO/IEC 27701作為ISO/IEC 27001與ISO/IEC 27002在管理上的延伸標(biāo)準(zhǔn)，其目標(biāo)是通過(guò)新增的要求來(lái)增強(qiáng)現(xiàn)有信息安全管理體系（ISMS），以便建立、實(shí)施、維護(hù)和不斷改進(jìn)隱私信息管理體系（PIMS），標(biāo)準(zhǔn)概述了適用于個(gè)人身份信息（PII）控制者和PII處理者的框架，用于隱私控制管理，以降低對(duì)個(gè)人隱私的各種風(fēng)險(xiǎn)。
ISO/IEC 27701標(biāo)準(zhǔn)的正文由8個(gè)條款組成，其中：
1)     條款1-4，給出了標(biāo)準(zhǔn)范圍、術(shù)語(yǔ)、定義等
2)     條款5給出了ISO/IEC 27001相關(guān)的PIMS要求
3)     條款6給出了ISO/IEC 27002相關(guān)的PIMS指南
4)     條款7給出了針對(duì)PII控制者的ISO/IEC 27002擴(kuò)展指南
5)     條款8給出了針對(duì)PII處理者的ISO/IEC 27002擴(kuò)展指南
6)     附錄A，針對(duì)PII控制者的PIMS特定的控制目標(biāo)和控制措施
7)     附錄B，針對(duì)PII處理者的PIMS特定的控制目標(biāo)和控制措施
8)     附錄C，與ISO/IEC 29100的對(duì)應(yīng)
9)     附錄D，與GDPR的對(duì)應(yīng)
10)   附錄E，與ISO/IEC 27018和ISO/IEC 29151的對(duì)應(yīng)
11)   附錄F，如何在ISO/IEC 27001和ISO/IEC 27002的基礎(chǔ)上實(shí)施ISO/IEC 27701
五、隱私安全相關(guān)標(biāo)準(zhǔn)之間的關(guān)系
為了應(yīng)對(duì)越來(lái)越多信息泄露件及個(gè)人信息濫用的情況，國(guó)際標(biāo)準(zhǔn)化組織ISO也在信息安全、隱私安全、云安全等相關(guān)領(lǐng)域發(fā)布了諸多國(guó)際標(biāo)準(zhǔn)。下圖展示了隱私安全相關(guān)標(biāo)準(zhǔn)之間的關(guān)系：
1) ISO/IEC 27002為ISO/IEC 27001提供風(fēng)險(xiǎn)處置具體的控制目標(biāo)和控制措施指南；
2) 組織依據(jù)ISO/IEC 27001標(biāo)準(zhǔn)建立信息安全管理體系，通過(guò)風(fēng)險(xiǎn)管理來(lái)保護(hù)和管理組織的所有信息，從數(shù)據(jù)安全方面滿(mǎn)足各國(guó)隱私法規(guī)的部分要求；
3) ISO/IEC 27017和ISO/IEC 27018是ISO/IEC 27002標(biāo)準(zhǔn)的延伸，ISO/IEC 27017著重于云環(huán)境下的信息安全控制，ISO/IEC 27018著重于公有云個(gè)人隱私保護(hù)；
4) 擴(kuò)展ISO/IEC 27001相關(guān)的PIMS要求；
5) 擴(kuò)展ISO/IEC 27002相關(guān)的PIMS要求以及PII控制者和處理者的額外要求；
6) ISO/IEC 27701附錄D映射GDPR大部分條款，僅部分條款未被ISO/IEC 27701覆蓋，通過(guò)ISO/IEC 27701認(rèn)證能表明組織符合GDPR的大部分要求，是目前GDPR合規(guī)展現(xiàn)的方式之一；
7) ISO/IEC 29100、ISO/IEC 29134、ISO/IEC 29151、ISO/IEC 27018均為隱私方面的標(biāo)準(zhǔn)，有不同的側(cè)重點(diǎn)，與ISO/IEC 27701互為補(bǔ)充。
認(rèn)證流程：

service服務(wù)目錄

ISO27701 隱私信息管理

產(chǎn)品介紹

相關(guān)認(rèn)證推薦