隨著社交媒體APP和物聯網設備在生活中的廣泛應用,以及全球隱私法律法規的激增,隱私保護問題已然成為了當前社會的焦點,這意味著組織現在面臨著來自客戶、最終用戶、投資者和監管機構的多重壓力,企業如何管理個人可識別信息(PII)或個人數據,如何確保隱私合規,都成為擺在企業面前亟待解決的新問題和新挑戰。
隱私的概念經常被誤解或被錯誤地對待。許多企業認為,不將數據傳遞給第三方并確保其數據庫受密碼保護就足夠了。諸如“同意”、“托收目的”或“跨境轉移”等概念要么被忽視,要么不被理解。針對GDPR和CCPA的嚴厲罰款讓許多組織已經意識到了這些風險,并開始注重其隱私保護。
2019年8月發布的隱私安全標準ISO/IEC 27701:2019,能幫助企業拓展ISO /IEC 27001體系對保護隱私的局限性,更全面、準確、充分地應對隱私保護及合規要求。
今天我們先來看看ISO/IEC 27701:2019 標準的結構及其與 ISO/IEC 27001 和 ISO/IEC 27002之間的關系。
ISO/IEC 27701:2019的正式名稱為安全技術--ISO/IEC 27001 和 ISO/IEC 27002 對隱私信息管理的擴展--要求和指南。其以ISO/IEC 27001 和 ISO/IEC 27002 對隱私信息管理的擴展方式,為在組織范圍內建立、實施、維護和持續改進隱私信息管理體系(PIMS)指定要求,并提供指南。
與ISO/IEC 27001 配合使用,是認證要求和實施指南的組合體。 它是對ISO/IEC 27001 的擴展,因其增加了附加的PIMS 相關要求,如條款5、附錄 A 和附錄 B。認證要求在標準中共有67項,表述為應。同時,為組織實施 PIMS,還增加了從ISO/IEC 27002 到 PIMS的附加指南.
ISO27701的基本原則和框架
隱私信息管理體系(PIMS)是信息安全管理體系(ISMS)的擴展,PIMS可以與ISMS一起進行結合認證,也適用于正在運行信息安全管理體系的組織。
ISO/IEC 27701 提供與ISO 27001相關的隱私管理要求
ISO/IEC 27701 提供對PII控制者和處理者的額外的 ISO 27002指導內容
ISO/IEC 27701 提供對 PII控制者與處理者的控制目標和控制措施
ISO/IEC 27701 提供與ISO29100、GDPR、ISO27018及ISO29151的對應關系
以及如何將ISO/IEC 27701應用到ISO27001和ISO27002
a) ISO 27701是ISO 27001和ISO 27002在隱私方面的擴展。
b) ISO 27002為ISO 27001提供風險處置具體的控制目標和控制措施。
c) ISO 29100、ISO 27018、ISO 29151均為隱私方面的標準,有不同的側重點,與ISO 27701互為補充。
d) ISO 27001幫助企業建立ISMS,通過有效的風險管理來保護和管理組織的所有信息,從數據安全方面滿足GDPR的部分要求。
e) ISO 27701加入了隱私保護的額外要求,更全面地覆蓋了GDPR的要求。