ISO27701隐私信息管理体系标准PIMS权威解析
发布时间:2020-10-28 作者:广汇联合 来源:广汇联合
随着社交媒体APP和物联网设备在生活中的广泛应用,以及全球隐私法律法规的激增,诸如:《欧盟通用数据保护条例》(GDPR)、《加州消费者隐私法》(CCPA)和《中国网络安全法》(China network security Law),隐私保护问题已然成为了当前社会的焦点,这意味着组织现在面临着来自客户、最终用户、投资者和监管机构的多重压力,企业如何管理个人可识别信息(PII)或个人数据,如何确保隐私合规,都成为摆在企业面前亟待解决的新问题和新挑战。
2019年8月发布的隐私安全标准ISO27701:2019,能帮助企业拓展ISO27001体系对保护隐私的局限性,更全面、准确、充分地应对隐私保护及合规要求。
ISO27701:2019的正式名称为安全技术--ISO27001和ISO27002对隐私信息管理的扩展--要求和指南。其以ISO27001和 ISO27002对隐私信息管理的扩展方式,为在组织范围内建立、实施、维护和持续改进隐私信息管理体系(PIMS)指定要求,并提供指南。
与ISO27001配合使用,是认证要求和实施指南的组合体。它是对ISO27001的扩展,因其增加了附加的PIMS相关要求,如条款5、附录A和附录B。认证要求在标准中共有67项,表述为'应'。同时,为组织实施 PIMS,还增加了从ISO27002到PIMS的附加指南,例如条款6、7和8
主要条款详情:
条款5:与ISO27001相关的PIMS特定要求
涵盖了对ISO27001:2013条款4~10附加的要求,均为认证要求。例如,如本标准中条款5.7.2 的表述:ISO27001:2013,9.2 中所述要求以及5.1中所述的解释均适用。
该标准不增加任何新的内部审核要求,只要组织理解这是ISO27001:2013对处理个人可识别信息(PII)所可能增加风险的“信息安全”要求。
条款6:与ISO27002相关的PIMS特定指南
涵盖了与ISO27002有关的其他PIMS相关指南。例如,标准条款6.9.4.4(与ISO27001:2013的12.4.4时钟同步相对应)不包含任何附加要求,因为时钟同步与隐私风险没有相关性。另一方面,标准条款6.9.3.1(与ISO27001:2013 的12.3.1 信息备份相对应)则增加较多的隐私管理指南,因为信息备份可能存在隐私风险,例如数据保留期、跨境数据传输等。下表总结了ISO27002各个领域中的控制点的数量。在ISO27002中,共对32项新的控制点进行了修订。与ISO27002一样,条款6中的指南为非认证条款。
条款7:对PII控制者附加的ISO27002指南
为PII 控制者提供指南。对于PII控制者所需的所有控制点都列在标准的附录A中。这些控制点是规范性的,这意味着如果组织作为控制者,则应实施这些控制(参见如下认证中的PII控制者与PII处理者)条款7中所提供的指南有助于组织实施这些控制。然而这些指南为非认证性的。
条款8:对PII处理者附加的ISO/IEC27002指南
为PII处理者提供指南。本标准附录B列出了PII处理者的控制点。与附录A相似,如果组织作为处理者,这些控制点是规范性的。条款8的指南是非认证性的。
企业获得ISO/IEC27701认证的益处
获取客户关于组织对隐私信息管理方面的信任以获得潜在业务。证实组织对其产品和服务目标市场所在地隐私法规的遵从,获得所在地的市场准入。向相关方证实其在隐私管理方面的能力和符合性,组织自身为证实其在隐私管理方面的能力和符合性。