ISO发布最新国际标准ISO27701个人信息管理体系

ISO发布最新国际标准ISO27701个人信息管理体系

欧洲的《通用数据保护法规》(GDPR)对个人隐私保护提出了严格的条款,严重违反者将被处以上亿罚款,中国、澳大利亚、韩国等国家也制定了有关隐私保护的法律法规。数字化、全球化和服务个性化使得用户被各大平台从不同程度上获取了个人信息,鉴于动态的运营环境,用户无法知晓自己的个人信息在进行怎样的数据交互,指导组织如何管理和处理数据以减少个人信息风险变得愈发重要,国际标准化组织(ISO)和国际电工委员会(IEC)制定了ISO/IEC 27701以新的国际标准的形式提供此类指导,并协助证明其遵守最新的隐私法规。ISO/IEC 27701标准的好处是可以帮助组织在不断变化的监管环境中证明个人数据保护和隐私符合不同法律,认证可以是一个有用的工具,为组织增加对隐私和相关义务承诺的可信度。

关于ISO / IEC 27701

l ISO/IEC 27001与ISO/IEC27701

ISO / IEC 27701 是ISO / IEC 27001信息安全管理的隐私扩展,是由其衍生的。由于许多组织已经建立了基于ISO/IEC 27001的信息安全管理体系(ISMS),并以ISO/IEC 27002为指导,为保护隐私奠定了基础。ISO / IEC 27701通过附加要求来增强现有的信息安全管理体系,以便建立、实施、维护和持续改进隐私信息管理系统(PIMS)。

l GDPR与ISO/IEC27701

GDPR是欧盟议会通过的在28个欧盟成员国统一实施生效的数据保护指令,ISO/IEC27701与GDPR这样的强制性法规不同,它是一个国际管理体系标准,加入了来自GDPR的元素,为组织提供有关隐私保护的最佳实践,包括组织应如何管理个人信息,以及协助证明遵守世界各地的隐私法规。

谁应该使用ISO / IEC 27701

ISO / IEC 27001适用于所有类型和规模的组织,包括公有和私营公司、政府实体和非营利组织,在信息安全管理体系(ISMS)中管理个人身份信息(PII)。

ISO/IEC 27701标准的正文由8个条款组成,其中:

1、条款1-4,给出了标准范围、术语、定义等

2、条款5,给出了ISO 27001相关的PIMS要求

3、条款6,给出了ISO 27002相关的PIMS指南

4、条款7,给出了针对PII控制者的ISO 27002扩展指南

5、条款8,给出了针对PII处理者的ISO 27002扩展指南

6、附录A,针对PII控制者的PIMS特定的控制目标和控制措施

7、附录B,针对PII处理者的PIMS特定的控制目标和控制措施

8、附录C,与ISO/IEC 29100的对应

9、附录D,与GDPR的对应

10、附录E,与ISO/IEC 27018和ISO/IEC 29151的对应

11、附录F,如何在ISO/IEC 27001和ISO/IEC 27002的基础上实施ISO/IEC 27701

ISO/IEC 27701的优势

在利益相关方之间提供透明度有助于增强信任提供更具协作性的方法更有效的业务协议更清晰的角色和职责通过与 ISO/IEC 27001 相结合减少复杂性

ISO / IEC 27701是一种潜在的认证机制

ISO / IEC 27701作为独立、一致的认证机制,可以证明数据存储与处理的有效性,并用来评估整个供应链中组织之间交换个人信息的风险。通过提供必要的证据,证明组织依照法律处理其客户的个人信息,包括跨境数据流的情况,可以帮助证明组织遵守GDPR等数据隐私法。证明遵守法规的认证机制在很大程度上增加了组织间对如何处理个人数据的信任,同时通过在组织之间提供保证来创造商业机会。