盡管只能根據ISO 27001要求而不是當前根據ISO 27701來授予認可的認證,但是日益受到監管的安全和隱私格局以及對企業的網絡攻擊的急劇增加,無論規模大小,都應僅鼓勵組織采用國際框架例如ISO 27001和ISO 27701。
獨立認可的認證可以支持政府資助項目的競標,為客戶提供安全實踐的證明,并向董事會和監管機構保證,組織將根據此國際框架和其他法律規定對數據隱私負責。
在過去的十年中,隱私和網絡安全一直是董事會層面的問題,但是高層承諾仍然是一個挑戰。隨著具有重大影響的數據保護法律的出臺,我們應該看到比以往更多的組織采用國際認可的標準,例如ISO 27001及其新的擴展。
通過對ISO 27001的認證,組織可以證明其已采取適當措施來履行其法律和法規義務,以減少和管理數據安全風險。
什么是ISO 27701?
2023年8月6日,國際標準化組織(ISO)和國際電工委員會(IEC)發布了ISO / IEC 27701(ISO 27701),這是ISO / IEC 27001和ISO / IEC 27002的隱私擴展,旨在幫助組織保護和控制他們處理的個人信息。 類似于現有的ISO標準ISO 27701補充,此新的ISO標準可能成為組織保護個人身份信息(PII)的事實上的護理標準,并且可以用來證明其遵守全球隱私法規,包括通用數據保護法規(EU)2016/679(GDPR)。
這一新標準是實現安全合規的“錦上添花”。 眾所周知的ISO 27001構成了基礎,而新的ISO 27701則在此基礎上進行了構建,以提供一套全面的信息安全和個人信息保護控制措施。
ISO 27701最初開發為ISO / IEC 27552,它為建立,實施,維護和持續改進隱私信息管理系統(PIMS)提供了特定要求和指導,作為對ISO 27001中定義的靈活信息安全管理系統(ISMS)的擴展。除了信息安全之外,還應考慮到處理PII所需的隱私保護。 像ISO 27001標準一樣,ISO 27701并不希望組織在所有情況下都采用每種控件。 相反,它要求組織了解處理PII的特定上下文,并以適合其處理活動的方式調整特定的控件集以及這些控件的相關實現。
為了更好地理解新標準,應該理解兩個關鍵術語:控制器和處理器。 這些術語可在包括GDPR在內的許多隱私法律和法規中找到。 通常,“控制者”是指示首先收集和處理PII的原因的實體,“處理者”是負責代表該個人處理此類數據的獨立法律實體(即,不是雇員)。控制器。
新發布的標準既適用于PII的控制器(以及聯合控制器),也適用于PII的處理器(包括子處理器),而不管其運營所在的管轄區和部門如何,并且還包括對GDPR和ISO / IEC的映射29100,ISO / IEC 27018和ISO / IEC 29151安全框架。 應預料到將ISO 27701要求映射到其他隱私法律,例如2018年《加利福尼亞消費者隱私法案》(CCPA),GLBA和HIPAA,并將通過提供證明遵守這些監管制度的通用標準來幫助組織。
下面提供了適用于控制器和處理器的某些關鍵ISO 27701關鍵要求的高級概述。
適用于控制器和處理器的要求
機密性:被授權訪問PII的個人必須簽署保密協議。
分析風險:必須進行隱私風險評估以識別PII處理風險。
監督:組織必須任命一個負責制定,實施,維護和監視其治理和隱私計劃的人員。
培訓:需要對有權使用PII的人員進行隱私意識培訓。
內部流程:組織必須采用各種政策和程序,例如針對違反PII的事件響應計劃。
保持記錄:ISO 27701要求組織保留所有PII處理活動的記錄,包括管轄區之間的PII轉移和向第三方的披露。
控制器特定要求
隱私權聲明:組織必須提供隱私政策,其中包含有關PII收集,使用和處理的特定信息。
處理器合同要求:組織必須與處理者簽訂書面合同,處理特定項目,例如保護PII,將處理限制為收集PII的特定目的,并提供違反PII的通知。
個人權利: ISO 27701要求組織實施各種機制,以容納個人訪問,更正和刪除其PII的權利,以及反對或限制PII的處理等。
設計和默認情況下的隱私: 組織必須采取措施,通過設計使隱私原則和默認情況下的隱私原則付諸實踐。
處理器特定要求
加工限制:組織必須僅根據控制器或處理器的書面說明來處理PII(取決于客戶的角色)
協助個人權利:ISO 27701要求加工商采取措施,協助客戶遵守個人權利。
轉讓和披露:加工商必須提前將司法管轄區之間的PII轉移或其任何預期變更告知客戶。
分包商:ISO 27701要求處理器僅根據客戶合同的條款委聘分包商處理PII。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
