證服務(wù).jpg)
ISO27701隱私信息管理體系認(rèn)證辦理
發(fā)布時(shí)間:2020-10-24 瀏覽次數(shù):114
2020年10月24日,數(shù)字化、全球化和服務(wù)個(gè)性化使得用戶被各大平臺(tái)從不同程度上獲取了個(gè)人信息,鑒于動(dòng)態(tài)的運(yùn)營(yíng)環(huán)境,用戶無法知曉自己的個(gè)人信息在進(jìn)行怎樣的數(shù)據(jù)交互,指導(dǎo)組織如何管理和處理數(shù)據(jù)以減少個(gè)人信息風(fēng)險(xiǎn)變得愈發(fā)重要.
2019年8月,ISO組織正式發(fā)布了ISO/IEC 27701,安全技術(shù)-擴(kuò)展的ISO/IEC 27001和ISO/IEC 27002-隱私信息管理要求和指南。
該標(biāo)準(zhǔn)建立在ISO/IEC 27001要求的基礎(chǔ)之上,在隱私方面提供了必要的額外要求。規(guī)定了建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)隱私相關(guān)所特定的信息安全管理體系的要求
ISO/IEC 27701標(biāo)準(zhǔn)的好處:
是可以幫助組織在不斷變化的監(jiān)管環(huán)境中證明個(gè)人數(shù)據(jù)保護(hù)和隱私符合不同法律,認(rèn)證可以是一個(gè)有用的工具,為組織增加對(duì)隱私和相關(guān)義務(wù)承諾的可信度。
通過ISO / IEC27701認(rèn)證,可以證明數(shù)據(jù)存儲(chǔ)與處理的有效性,并用來評(píng)估整個(gè)供應(yīng)鏈中組織之間交換個(gè)人信息的風(fēng)險(xiǎn)。
通過提供必要的證據(jù),證明組織依照法律處理其客戶的個(gè)人信息,包括跨境數(shù)據(jù)流的情況,可以幫助證明組織遵守GDPR等數(shù)據(jù)隱私法。
證明遵守法規(guī)的認(rèn)證機(jī)制在很大程度上增加了組織間對(duì)如何處理個(gè)人數(shù)據(jù)的信任,同時(shí)通過在組織之間提供保證來創(chuàng)造商業(yè)機(jī)會(huì)。
關(guān)于ISO / IEC27701
ISO / IEC 27701 是ISO / IEC 27001信息安全管理的隱私擴(kuò)展,是由其衍生的。由于許多組織已經(jīng)建立了基于ISO/IEC 27001的信息安全管理體系(ISMS),并以ISO/IEC 27002為指導(dǎo),為保護(hù)隱私奠定了基礎(chǔ)。
ISO / IEC 27701通過附加要求來增強(qiáng)現(xiàn)有的信息安全管理體系,以便建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)隱私信息管理系統(tǒng)(PIMS)。
ISO / IEC 27001適用于所有類型和規(guī)模的組織,包括公有和私營(yíng)公司、政府實(shí)體和非營(yíng)利組織,在信息安全管理體系(ISMS)中管理個(gè)人身份信息(PII)。
ISO 27701 源自 ISO/IEC 27552,為建立、實(shí)現(xiàn)、維護(hù)和持續(xù)改進(jìn)隱私信息管理系統(tǒng) (PIMS) 提供具體要求和指南,令 PIMS 作為 ISO 27001 中定義的靈活信息安全管理系統(tǒng) (ISMS) 的擴(kuò)展,在信息安全的基礎(chǔ)上將處理 PII 所需的隱私保護(hù)納入考慮。與 ISO 27001 標(biāo)準(zhǔn)類似, ISO 27701 不期望組織機(jī)構(gòu)在所有情況下采納每一條控制。相反,該標(biāo)準(zhǔn)要求組織機(jī)構(gòu)理解自身 PII 處理的具體上下文,以適合其處理活動(dòng)的方式調(diào)整特定控制集和與之相關(guān)的實(shí)現(xiàn)。
為更好地理解新標(biāo)準(zhǔn),需要弄清兩個(gè)關(guān)鍵術(shù)語:控制者和處理者。這兩個(gè)術(shù)語在很多隱私法律和規(guī)定中都能見到,包括 GDPR。通常,“控制者” 是指示為什么要收集和處理 PII 的實(shí)體,“處理者” 是代表該控制者負(fù)責(zé)處理此數(shù)據(jù)的另一個(gè)法律實(shí)體(非員工)。
新發(fā)布的標(biāo)準(zhǔn)適用于 PII 控制者(及聯(lián)合控制者)和處理者(包括下級(jí)處理者),無論其運(yùn)營(yíng)的行業(yè)和司法轄區(qū),也包括到 GDPR 和 SO/IEC 29100、ISO/IEC 27018 及 ISO/IEC 29151 安全框架的映射。預(yù)計(jì) ISO 27701 要求還將映射到其他隱私法律,如《2018 加州消費(fèi)者隱私法案》(CCPA)、《金融服務(wù)現(xiàn)代化法案》(GLBA) 和《健康保險(xiǎn)流通與責(zé)任法案》(HIPAA) 等,通過提供通用的合規(guī)標(biāo)準(zhǔn)幫助組織機(jī)構(gòu)更好地符合這些監(jiān)管要求。
客戶若想雇傭供應(yīng)商代表自己處理和維護(hù) PII,應(yīng)考慮以合同的形式要求這些供應(yīng)商不僅遵從 ISO 27001,還要遵從 ISO 27701,或者在數(shù)據(jù)敏感度適用的情況下取得符合該標(biāo)準(zhǔn)的認(rèn)證。即使客戶不要求供應(yīng)商經(jīng)過獨(dú)立第三方的新標(biāo)準(zhǔn)合規(guī)認(rèn)證,可能也想要更新合同,確保供應(yīng)商能夠符合 ISO 27701 的要求。鑒于 ISO 27701 才剛發(fā)布,合同中也可寫入供應(yīng)商符合新標(biāo)準(zhǔn)要求的合理時(shí)延。
已經(jīng)通過 ISO 27001 認(rèn)證,希望實(shí)現(xiàn) ISO 27701 要求的組織機(jī)構(gòu),可以考慮采取下列步驟:
1. 按照 ISO 27701 的要求對(duì)現(xiàn)有 ISMS 執(zhí)行漏洞評(píng)估,生成如何解決這些漏洞的行動(dòng)計(jì)劃。
2. 對(duì)組織機(jī)構(gòu)收集的 PII 執(zhí)行數(shù)據(jù)映射,了解所收集 PII 的范圍,弄清處理者共享和使用 PII 的方式。
3. 依據(jù)上下文相關(guān)的內(nèi)部或外部因素,比如適用的隱私立法、規(guī)定、司法判決或合同要求等,確定組織機(jī)構(gòu)作為控制者和/或處理者的角色。
4. 審核并更新隱私政策,確保含有所要求的信息。
5. 制定適用于該組織機(jī)構(gòu)角色的策略和規(guī)程。
6. 開始規(guī)劃和實(shí)現(xiàn)設(shè)計(jì)隱私與默認(rèn)隱私原則。
本公司專業(yè)辦理ISO27701隱私信息管理體系認(rèn)證證書,費(fèi)用低,流程快,權(quán)威證書認(rèn)監(jiān)委網(wǎng)站可查詢。
