成立于1992,业内首批
源自质量技术监督系统
万余家企业服务
服务涉及各行各业
百万人培训经验积累
百万专业技术人员培训经验

ISO27701认证

ISO27701认证
ISO27701认证

ISO/IEC27701标准的发布,填补了目前隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并且对PII控制者和PII处理者进行了较为详细且落地性强的规定,给企业在隐私保护和信息安全方面给出了指导建议。

一、隐私保护的重要性被不断强调,ISO/IEC27701标准也随之出台威胁重重,数据滥用、数据窃取、隐私泄露以及“大数据杀熟”等数据安全问题呈现爆发趋势。在此背景下,全球各个国家纷纷颁布相关法律法规,对数据安全与隐私保护相关问题进行严格的规范与引导。

二、IS027701认证的主要目标是什么?
通过PIMS的扩展以及与隐私相关的控制来增强现有的信息安全管理体系(ISMS),简化复杂的重叠隐私法的管理,创建一个以证据为基础的隐私计划,并通过公认的认证形式表明该计划的合规性,并作为潜在的GDPR合规性的基础。现在发布的ISO27701认证标准还实现了其他一些目的。一方面,它充当PIMS与ISMS或ISO27001之间关系和连接的概述。它还详述了所需的功能,并列出了PIMS数据处理器和控制器的隐私控制。在更大范围内,ISO27701认证将信息隐私要求映射到相关的ISO标准和GDPR。

三、ISO27701认证的好处?
ISO/IEC27701该标准为企业和其他组织提供了一个国际通用的隐私信息管理工具,对于降低企业隐私合规难度,便利企业提供合规证明,增强社会各方对企业的信任程度具有重要意义。实施隐私信息管理,至少获得如下收益:
1)合规。通过明确对PII处理者的隐私保护要求,可以明确隐私保护管理合规目标,减轻组织合规负担的同时降低组织合规风险,ISO27701标准附录D中明确表示,单个隐私控制点可以满足GDPR中的多项要求。满足了ISO27701标准也就意味着基本满足GDPR的要求,而GDPR是众多隐私保护法规中最为严格的,也就意味着满足了即将颁布的《隐私保护法》的系列要求。
2)完善数据安全能力和风险管理。实现持续的完善产品的非功能性要求,进而展示出产品在处理个人隐私安全、安全治理的绩效,通过流程分析,在流程的输入、输出、控制过程中,识别、分析、验证隐私保护需求、传递隐私保护价值,减少甚至消除隐私泄露的风险,如:体现为采用隐私控制技术(如日志脱敏、数据库加密)、产品架构(如加密芯片)、技术路径(如完整性校验)等。
3)PIMS认证可以传递信任。客户或合作伙伴,尤其是政府组织、金融机构作为承担隐私风险的机构,通常会要求PII处理者提供相关证据(如PIA分析报告),从而证明PII处理者的产品能符合适用的隐私管理体系要求。通过得到授权的第三方机构对PII处理者进行基于国际标准的审核,可以极大地降低合规沟通成本,这种合规透明度的提高对于组织战略和业务决策至关重要,同时PIMS认证也有助于向公众传达组织的可信度。

四、如何实施ISO27701认证?
要求供应商代表他们处理和维护PII的客户应考虑合同规定这些供应商不仅要遵守ISO27001.而且要符合IS027701,或者在适用于数据敏感性的情况下获得ISO27701标准的认证。即使客户不要求供应商通过独立的第三方认证也符合新标准ISO27701认证,他们仍可能希望更新合同以确保供应商可以符合ISO27701认证的要求。由于ISO27701认证仍然非常对于新合同,卖方应遵守本新标准的规定合理的时间延迟,以便将其包括在这些合同中。
已通过ISO27001认证并希望实施ISO27701要求的组织应考虑采取以下步骤:
1)对现有ISMS进行符合ISO27701认证要求的差距评估,并就如何解决这些差距制定行动计划。
2)对组织收集的PII进行数据映射,以了解收集的II的范围以及如何使用和与处理器共享。
3)根据与组织环境相关的内部或外部因素(例如适用的隐私法规,法规,司法决定或合同要求)确定组织作为控制者和/或处理者的角色。
4)查看并更新隐私策略,以确保它们包含必需的信息。
5)制定适用于组织角色的政策和程序。
6)通过设计和默认原则开始规划和实施隐私。
在世界各地,立法者和监管者都在引入新的法律来规范数据的使用,不断变化的法律环境给所有企业带来了挑战,尤其是必须遵守多个司法管辖区法规的企业。新的ISO27701认证标准不会尝试单独和本地处理每项新法律,而是提供一种统一的方式来决定,计划,实施和记录组织在全球范围内的数据隐私方法。

ISO/IEC 27701标准介绍
1. 关键术语解释:
PII:个人可识别身份信息,指 a) 任何可以识别PII主体的信息或 b) 直接或间接与PII主体相关的信息
PIMS:Privacy Information Management System,隐私信息管理体系
Customer:
PII控制者的customer:与PII控制者有合约关系的组织,可以是共同控制者
PII处理者的customer:与PII处理者有合约关系的PII控制者
与PII处理的分包商有合约关系的PII处理者

2. ISO 27701结构组成
ISO 27701是ISO 27001和ISO 27002在隐私方面的扩展,并为隐私保护提供了除ISO 27001和ISO 27002之外的额外的指导。全文共分为8个章节及6个附录,主要的要求和指导内容集中在第5-8章。
其中第5章介绍了ISO 27001中延伸出的关于PIMS的扩展要求以及本标准对PIMS的附加要求,第6章则介绍了ISO 27002中对PIMS的扩展及附加要求,这两章的内容对PII控制者和处理者均适用,行文结构和控制域与原标准一致,包含ISO 27002共14个控制域、114个控制项。
第7章为专门针对PII控制者的额外指导内容,共31个控制项,第8章则为针对PII处理者的额外指导内容,共18个控制项,这两章均从PII的收集和处理,对PII主体的义务,Privacy by design & Privacy by default,PII的共享、传输和披露四个方面作出相应规定。
总体而言,本标准通过第5章和第6章将ISO 27002与附加的PIMS控制项通过ISO 27001中PDCA的方式导入体系,形成完整的信息安全和隐私管理体系。此外,第7章和第8章从数据生命周期的角度新增分别针对PII控制者和处理者的控制要求。同时,附录中还将本标准与GDPR、ISO 29100、ISO 27018及ISO 29151进行了映射。