ISO27701標準的要求分為以下幾個章節:
ISO27701第5章概述了與ISO27001相關的PIMS要求。
ISO27701第6章概述了與ISO27002相關的PIMS要求。
ISO27701第7章概述了控制器的PIMS指南。
ISO27701第8章概述了針對處理器的PIMS指南。
ISO27701第5章:與ISO27001相關的PIMS要求
本章包含對ISO27001的許多引用,并且本質上旨在針對具有隱私相關要求的現有ISMS進行升級。 通常,這意味著在ISO27001中“信息安全性”中提到的任何地方都應閱讀或用“信息安全性和隱私性”代替(另請參閱第5.1段)。 下表列出了一些示例,說明了應用這些更改并不是火箭科學。
除了應用此一般更改外,還將涵蓋ISO27001的所有章節。 下面將參考ISO27701段落編號(在方括號中)討論最重要的更改。
組織環境(5.2)
要評估的第一個主題是您的組織是個人數據的控制者和/或處理者。 此外,檢查有關隱私的相關法律和法規也很重要。 應該對可能影響PIMS預期結果的相關內部和外部因素進行概述。 其他示例包括合同要求,還包括合作伙伴和其他相關方的角色。
領導的參與(5.3)
對于領導層的參與,沒有針對隱私的特定要求。
規劃和目標(5.4)
隱私風險的處理方式與ISO27001中的信息安全風險的處理方式相同。可以應用集成的信息安全和隱私風險評估,也可以創建兩個單獨的流程。 關于風險處理,必須考慮到ISO27701附件A和B中提到的隱私控制。
支持包括資源和溝通(5.5)
本段僅包含對ISO27001的第7章的引用。
運營方面(5.6)
本段僅包含對ISO27001的第8章的引用。
績效評估(5.7)
本段僅包含對ISO27001第9章的引用。
持續改進(5.8)
本段僅包含對ISO27001第10章的引用。
添加以上與隱私相關的要求將為隱私信息管理系統或PIMS提供基礎。
ISO27701第6章:與ISO27002相關的PIMS要求
在本節中,將特定的隱私要求添加到ISO27002中的現有信息安全控件中 。 第6章中提到的兩個控件在這里值得一提,因為它們說明了隱私和安全程序之間的交集:
保護測試數據
該控件指出,除了ISO27002控件14.3.1之外,不應將個人身份信息用于測試目的。 優良作法是將虛擬數據用于測試目的,因為測試環境易受攻擊。
信息安全事件管理
與安全相關的事件可能會導致個人數據泄露。 在一些國家/地區,有關于違規報告的法規。 不僅需要在技術層面上管理此類事件的內部責任,而且還需要用于通知有關當局或數據主體的程序。
ISO27701第7章:針對管制員的GDPR指南
本章包含針對個人信息控制者的多項GDPR合規性檢查。 但是,根據GDPR,大多數控制措施都是強制性的。 涵蓋的主題有:
處理個人數據的合法依據
同意管理
數據保護影響評估(DPIA)
數據處理協議
促進數據主體權利
通過設計和默認原則實施隱私
數據出口到第三國
ISO27701第8章:處理器的GDPR指南
本章包含針對個人信息處理者的多項GDPR合規性檢查。 但是,根據GDPR,大多數控制措施都是強制性的。 涵蓋的主題有:
加工條件
數據保護原則
通過設計和默認原則實施隱私
數據出口到第三國
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
