企业该如何选择ISO29151和IS027701认证?
发布时间:2020-09-29 作者:广汇联合 来源:广汇联合
ISO27701是基于ISO27001信息安全管理体系标准族,适用于所有类型和规模的组织,包括公共和私营公司、政府机构和非盈利组织,他们是在ISMS中处理PII的控制者或处理者。ISO29151是基于ISO29100信息技术安全技术保密框架标准族,适用于所有类型和规模的作为PII控制者的组织,包括处理PII的公共和私营公司、政府机构和非盈利组织。
ISO27701源自ISO27552,为建立、实现、维护和持续改进隐私信息管理系统(PIMS)提供具体要求和指南,令PIMS作为ISO27001中定义的灵活信息安全管理系统(ISMS)的扩展,在信息安全的基础上将处理PII所需的隐私保护纳入考虑。与现有的ISO27701补充类似,该新ISO标准可能成为组织机构保护个人可识别信息(PII)的事实标准,且可能用于证明包括《通用数据保护条例》GDPR在内的全球隐私规定。对安全规定而言,该新标准相当于锦上添花。
ISO29151认证建立了控制目标、控制措施和实施措施的指南,以满足与保护个人可识别信息安全有关的风险和影响评估所确定的要求。
ISO29151认证进一步指定了基于ISO27002的准则,重点是与PII保护相关的控制。ISO29151标准认证适用于PII控制器,并创建了满足与PII相关的风险和影响评估所确定的行为准则,从而完善了ISO29100隐私框架和ISO29134隐私影响评估创建的框架。
两者存在的差异使得ISO27701认证和ISO29151认证不可相互替代,企业可根据实际情况进行选择。