ISO27701隱私管理體系認證的意義
發布時間:2021-04-01 瀏覽次數:167
2021年4月1日,ISO27701 源自 ISO/IEC27552,為建立、實現、維護和持續改進隱私信息管理系統 (PIMS) 提供具體要求和指南,令 PIMS 作為 ISO 27001 中定義的靈活信息安全管理系統 (ISMS) 的擴展,在信息安全的基礎上將處理 PII 所需的隱私保護納入考慮。與 ISO 27001 標準類似, ISO 27701 不期望組織機構在所有情況下采納每一條控制。相反,該標準要求組織機構理解自身 PII 處理的具體上下文,以適合其處理活動的方式調整特定控制集和與之相關的實現。
為更好地理解新標準,需要弄清兩個關鍵術語:控制者和處理者。這兩個術語在很多隱私法律和規定中都能見到,包括 GDPR。通常,“控制者” 是指示為什么要收集和處理 PII 的實體,“處理者” 是代表該控制者負責處理此數據的另一個法律實體(非員工)。
新發布的標準適用于 PII 控制者(及聯合控制者)和處理者(包括下級處理者),無論其運營的行業和司法轄區,也包括到 GDPR 和 SO/IEC 29100、ISO/IEC 27018 及 ISO/IEC 29151 安全框架的映射。預計 ISO 27701 要求還將映射到其他隱私法律,如《2018 加州消費者隱私法案》(CCPA)、《金融服務現代化法案》(GLBA) 和《健康保險流通與責任法案》(HIPAA) 等,通過提供通用的合規標準幫助組織機構更好地符合這些監管要求。
ISO 27701可適用于需要對個人身份信息進行管理的任何組織,如銀行、保險公司、電信公司、航空公司、 數據中心、代理商、非政府組織、醫院和學校。
要求供貨商/服務承包商獲得ISO 27001和ISO 27701認證,對于組織來說,是應對來自供應鏈的與個人資訊法規相關的風險的一個很好的選擇。需要完成ISO 27701認證的組織可以連同ISO 27001認證一起進行認證。
實施隱私信息管理,至少獲得如下收益:
1) 合規。通過明確對PII處理者的隱私保護要求,可以明確隱私保護管理合規目標,減輕組織合規負擔的同時降低了組織合規風險,ISO27701標準附錄D中明確表示,單個隱私控制點可以滿足GDPR中的多項要求。滿足了ISO27701標準也就意味著基本滿足GDPR的要求,而GDPR是眾多隱私保護法規中最為嚴格的,也就意味著滿足了即將頒布的《隱私保護法》的系列要求。
2) 完善自身數據安全能力和風險管理。實現持續完善產品的非功能性要求,進而展示出產品在處理個人隱私安全、安全治理的績效,通過流程分析,在流程的輸入、輸出、控制過程中,識別、分析、驗證隱私保護需求、傳遞隱私保護價值,減少甚至消除隱私泄露的風險,如:體現為采用隱私控制技術(如日志脫敏、數據庫加密)、產品架構(如加密芯片)、技術路徑(如完整性校驗)等。
3) PIMS認證可以傳遞信任。客戶或合作伙伴,尤其是政府組織、金融機構作為承擔隱私風險的機構,通常為要求PII處理者提供相關證據(如PIA分析報告),從而證明PII處理者的產品能符合使用的隱私管理體系要求。通過得到授權的第三方機構對PII處理者進行基于國際標準的審核,可以極大的降低合規溝通成本,這種合規透明度的提高對于組織戰略和業務決策至關重要,同事PIMS認證也有助于向公眾傳達組織的可信度。
下一篇:個人信息安全管理體系認證
