ISO27701認(rèn)證隱私管理體系
文章來(lái)源:http://wczpcms.com
發(fā)布時(shí)間:2021-01-05
瀏覽次數(shù):89
2021年1月5日,ISO 27701 源自 ISO/IEC 27552�����,為建立�����、實(shí)現(xiàn)����、維護(hù)和持續(xù)改進(jìn)隱私信息管理系統(tǒng) (PIMS) 提供具體要求和指南���,令 PIMS 作為 ISO 27001 中定義的靈活信息安全管理系統(tǒng) (ISMS) 的擴(kuò)展�����,在信息安全的基礎(chǔ)上將處理 PII 所需的隱私保護(hù)納入考慮�����。與 ISO 27001 標(biāo)準(zhǔn)類似�, ISO 27701 不期望組織機(jī)構(gòu)在所有情況下采納每一條控制�����。相反����,該標(biāo)準(zhǔn)要求組織機(jī)構(gòu)理解自身 PII 處理的具體上下文�����,以適合其處理活動(dòng)的方式調(diào)整特定控制集和與之相關(guān)的實(shí)現(xiàn)����。
為更好地理解新標(biāo)準(zhǔn)���,需要弄清兩個(gè)關(guān)鍵術(shù)語(yǔ):控制者和處理者�。這兩個(gè)術(shù)語(yǔ)在很多隱私法律和規(guī)定中都能見到�,包括 GDPR。通常�,“控制者” 是指示為什么要收集和處理 PII 的實(shí)體,“處理者” 是代表該控制者負(fù)責(zé)處理此數(shù)據(jù)的另一個(gè)法律實(shí)體(非員工)�����。
新發(fā)布的標(biāo)準(zhǔn)適用于 PII 控制者(及聯(lián)合控制者)和處理者(包括下級(jí)處理者)���,無(wú)論其運(yùn)營(yíng)的行業(yè)和司法轄區(qū),也包括到 GDPR 和 SO/IEC 29100�、ISO/IEC 27018 及 ISO/IEC 29151 安全框架的映射���。預(yù)計(jì) ISO 27701 要求還將映射到其他隱私法律,如《2018 加州消費(fèi)者隱私法案》(CCPA)��、《金融服務(wù)現(xiàn)代化法案》(GLBA) 和《健康保險(xiǎn)流通與責(zé)任法案》(HIPAA) 等����,通過(guò)提供通用的合規(guī)標(biāo)準(zhǔn)幫助組織機(jī)構(gòu)更好地符合這些監(jiān)管要求。
ISO 27701 合規(guī)首先要求 ISO 27001 合規(guī)�。二者互為補(bǔ)充。遵從 ISO 27701 要求的組織機(jī)構(gòu)會(huì)留下其 PII 處理方式的書面證據(jù)���,可用于推動(dòng)與商業(yè)合作伙伴就 PII 處理問(wèn)題簽訂協(xié)議�����,明確該組織機(jī)構(gòu)與其他利益相關(guān)者間的 PII 處理方式��。盡管 GDPR 尚未確立官方認(rèn)證方法�,近期報(bào)告表明����,ISO 27701 或可在近期改變這一現(xiàn)狀。
已經(jīng)通過(guò) ISO 27001 認(rèn)證,希望實(shí)現(xiàn) ISO 27701 要求的組織機(jī)構(gòu)���,可以考慮采取下列步驟:
1. 按照 ISO 27701 的要求對(duì)現(xiàn)有 ISMS 執(zhí)行漏洞評(píng)估��,生成如何解決這些漏洞的行動(dòng)計(jì)劃�。
2. 對(duì)組織機(jī)構(gòu)收集的 PII 執(zhí)行數(shù)據(jù)映射��,了解所收集 PII 的范圍����,弄清處理者共享和使用 PII 的方式。
3. 依據(jù)上下文相關(guān)的內(nèi)部或外部因素�����,比如適用的隱私立法�����、規(guī)定�����、司法判決或合同要求等���,確定組織機(jī)構(gòu)作為控制者和/或處理者的角色��。
4. 審核并更新隱私政策���,確保含有所要求的信息。
5. 制定適用于該組織機(jī)構(gòu)角色的策略和規(guī)程�����。
6. 開始規(guī)劃和實(shí)現(xiàn)設(shè)計(jì)隱私與默認(rèn)隱私原則�����。
深圳新世紀(jì)顧問(wèn)有限公司辦理ISO27701認(rèn)證�,,流程快���。
