多家知名企业申请ISO27701认证的原因
发布时间:2021-01-04 作者:广汇联合 来源:广汇联合
ISO/IEC27701:2019是全球首个隐私管理体系标准,由国际标准化组织(ISO)和国际电工委员会(IEC)共同制定。该标准以ISO/IEC27001和ISO/IEC27002扩展的形式,为建立、实施、维护和持续改进隐私信息管理体系(PIMS)提出要求并提供指南,可以更好地在组织环境内实施隐私管理。
ISO/IEC27701的目标是通过对隐私保护的控制对ISMS进行补充,有效协助组织对隐私风险进行识别、分析、采取措施,将风险降到可接受水平并维持该水平,最终帮助组织建立完善的个人信息管理体系(PIMS),实现有效的隐私管理。而通过明确对个人验证信息(PII)控制者和处理者的隐私保护要求,可以让组织明确隐私保护管理合规目标,确保组织高级管理层、组织所有者以及关键相关方的利益满足隐私保护要求,从而使组织实现长期的个人隐私安全合规。
该标准与ISO/IEC27001配合使用,是认证要求和实施指南的组合体。它是对ISO/IEC27001的扩展,因其增加了附加的PIMS 相关要求,如条款5、附录 A 和附录 B。认证要求在标准中共有67项,表述为'应'。同时,为组织实施PIMS,还增加了从ISO/IEC27002到PIMS的附加指南,例如条款6、7和8。
一、主要条款详情:
条款5:与ISO27001相关的PIMS特定要求
涵盖了对ISO/IEC27001:2013条款4-10附加的要求,均为认证要求。例如,如本标准中条款5.7.2的表述:ISO/IEC 27001:2013,9.2中所述要求以及5.1中所述的解释均适用。
该标准不增加任何新的内部审核要求,只要组织理解这是ISO/IEC27001:2013对处理个人可识别信息(PII)所可能增加风险的“信息安全”要求。
条款6:与ISO27002相关的PIMS特定指南
涵盖了与ISO/IEC27002有关的其他PIMS相关指南。例如,标准条款6.9.4.4(与ISO/IEC27001:2013的12.4.4 时钟同步相对应)不包含任何附加要求,因为时钟同步与隐私风险没有相关性。另一方面,标准条款6.9.3.1(与 ISO/IC27001:2013 的12.3.1信息备份相对应)则增加较多的隐私管理指南,因为信息备份可能存在隐私风险,例如数据保留期、跨境数据传输等。下表总结了ISO/IEC27002各个领域中的控制点的数量。在ISO/IEC27002中,共对32项新的控制点进行了修订。与ISO/IEC27002一样,条款6中的指南为非认证条款。
条款7:对PII控制者附加的ISO27002指南
为PII控制者提供指南。对于PII控制者所需的所有控制点都列在标准的附录A中。这些控制点是规范性的,这意味着如果组织作为控制者,则应实施这些控制(参见如下认证中的PII控制者与PII处理者)。条款7中所提供的指南有助于组织实施这些控制。然而这些指南为非认证性的。
条款8:对PII处理者附加的ISO27002指南
为PII处理者提供指南。本标准附录B列出了PII处理者的控制点。与附录A相似,如果组织作为处理者,这些控制点是规范性的。条款8的指南是非认证性的。
二、企业获得ISO27701认证的益处
1、获取客户关于组织对隐私信息管理方面的信任,以获得潜在业务
2、证实组织对其产品和服务目标市场所在地隐私法规的遵从,获得所在地的市场准入
3、向相关方证实其在隐私管理方面的能力和符合性
4、组织自身为证实其在隐私管理方面的能力和符合性
如您想更详细的了解ISO27701标准,需要ISO27701标准,请您网络搜索广汇联合,快人一步,成就管理者风范。