隨著社交媒體APP和物聯網設備在生活中的廣泛應用���,以及全球隱私法律法規的激增�����,隱私保護問題已然成為了當前社會的焦點�,這意味著組織現在面臨著來自客戶�、最終用戶����、投資者和監管機構的多重壓力�,企業如何管理個人可識別信息(PII)或個人數據���,如何確保隱私合規�,都成為擺在企業面前亟待解決的新問題和新挑戰�����。
隱私的概念經常被誤解或被錯誤地對待�。許多企業認為��,不將數據傳遞給第三方并確保其數據庫受密碼保護就足夠了��。諸如“同意”����、“托收目的”或“跨境轉移”等概念要么被忽視��,要么不被理解��。針對GDPR和CCPA的嚴厲罰款讓許多組織已經意識到了這些風險��,并開始注重其隱私保護���。
2019年8月發布的隱私安全標準ISO/IEC 27701:2019��,能幫助企業拓展ISO /IEC 27001體系對保護隱私的局限性���,更全面���、準確�����、充分地應對隱私保護及合規要求����。
今天我們先來看看ISO/IEC 27701:2019 標準的結構及其與 ISO/IEC 27001 和 ISO/IEC 27002之間的關系���。
ISO/IEC 27701:2019的正式名稱為安全技術--ISO/IEC 27001 和 ISO/IEC 27002 對隱私信息管理的擴展--要求和指南����。其以ISO/IEC 27001 和 ISO/IEC 27002 對隱私信息管理的擴展方式�,為在組織范圍內建立�、實施�����、維護和持續改進隱私信息管理體系(PIMS)指定要求���,并提供指南�。
與ISO/IEC 27001 配合使用�,是認證要求和實施指南的組合體����。 它是對ISO/IEC 27001 的擴展��,因其增加了附加的PIMS 相關要求�,如條款5���、附錄 A 和附錄 B��。認證要求在標準中共有67項�����,表述為應���。同時�,為組織實施 PIMS���,還增加了從ISO/IEC 27002 到 PIMS的附加指南.
ISO27701的基本原則和框架
隱私信息管理體系(PIMS)是信息安全管理體系(ISMS)的擴展��,PIMS可以與ISMS一起進行結合認證�����,也適用于正在運行信息安全管理體系的組織��。
ISO/IEC 27701 提供與ISO 27001相關的隱私管理要求
ISO/IEC 27701 提供對PII控制者和處理者的額外的 ISO 27002指導內容
ISO/IEC 27701 提供對 PII控制者與處理者的控制目標和控制措施
ISO/IEC 27701 提供與ISO29100���、GDPR����、ISO27018及ISO29151的對應關系
以及如何將ISO/IEC 27701應用到ISO27001和ISO27002
a) ISO 27701是ISO 27001和ISO 27002在隱私方面的擴展����。
b) ISO 27002為ISO 27001提供風險處置具體的控制目標和控制措施��。
c) ISO 29100�����、ISO 27018�、ISO 29151均為隱私方面的標準�����,有不同的側重點����,與ISO 27701互為補充�����。
d) ISO 27001幫助企業建立ISMS��,通過有效的風險管理來保護和管理組織的所有信息��,從數據安全方面滿足GDPR的部分要求�����。
e) ISO 27701加入了隱私保護的額外要求��,更全面地覆蓋了GDPR的要求��。
