2023年8月6日,國際標準化組織(ISO)和國際電工委員會(IEC)發布了ISO/IEC 27701(ISO27701),這是ISO/IEC 27001和ISO/IEC 27002的隱私擴展,旨在幫助組織保護和控制他們處理的個人信息。 類似于現有的ISO標準ISO27701補充,此新的ISO標準可能成為組織保護個人身份信息(PII)的事實上的護理標準,并且可以用來證明其遵守全球隱私法規,包括通用數據保護法規(EU)2016/679(GDPR)。
這一新標準是實現安全合規的“錦上添花”。 眾所周知的ISO27001構成了基礎,而新的ISO27701認證則在此基礎上進行了構建,以提供一套全面的信息安全和個人信息保護控制措施。
什么是ISO27701?
ISO27701認證最初開發為ISO/IEC 27552,它為建立,實施,維護和持續改進隱私信息安全管理體系(PIMS)提供了特定要求和指導,作為對ISO27001中定義的靈活信息安全管理體系(ISMS)的擴展。除了信息安全之外,還應考慮到處理PII所需的隱私保護。 像ISO27001認證標準一樣,ISO27701認證并不希望組織在所有情況下都采用每種控件。 相反,它要求組織了解處理PII的特定上下文,并以適合其處理活動的方式調整特定的控件集以及這些控件的相關實現。
為了更好地理解新標準ISO27701認證,應該理解兩個關鍵術語:控制器和處理器。 這些術語可在包括GDPR在內的許多隱私法律和法規中找到。 通常,“控制者”是指示首先收集和處理PII的原因的實體,“處理者”是負責代表該個人處理此類數據的獨立法律實體(即,不是雇員)。
簡而言之,ISO27701認證是ISO27001認證的增強擴展。該標準可以提供通用數據保護法規(GDPR)要求的數據隱私和信息安全標準。 為了有效地管理隱私,它包含用于個人身份信息(PII)處理器和控制器的結構。 實施ISO27701將創建一個隱私信息安全管理體系,簡稱PIMS。
使用ISO27701認證作為數據安全性標準,可以向客戶和利益相關者展示您的公司支持GDPR合規性和隱私法規。 此外,它還可以確保您擁有他們可以信任的有效系統。 通過使用控件降低個人和公司的潛在信息安全和隱私風險,您可以創建一個更值得信賴的品牌。
新發布的ISO27701認證標準既適用于PII的控制器(以及聯合控制器),也適用于PII的處理器(包括子處理器),而不管其運營所在的管轄區和部門如何,并且還包括對GDPR和ISO/IEC的映射29100,ISO/IEC 27018和ISO/IEC 29151安全框架。 應預料到將ISO27701要求映射到其他隱私法律,例如2018年《加利福尼亞消費者隱私法案》(CCPA),GLBA和HIPAA,并將通過提供證明遵守這些監管制度的通用標準來幫助組織。
ISO27701認證的目的是什么?
由于ISO27701是一種PIMS,因此其目的主要與數據隱私和安全性有關。 它專門包含隱私控制和實踐的框架和要求。 ISO27701是ISO27001的擴展,因此對于希望實施PIMS的公司而言,后者是必需的。
ISO27701認證的主要目標是:
通過PIMS的擴展以及與隱私相關的控制來增強現有的信息安全管理體系(ISMS),簡化復雜的重疊隱私法的管理,創建一個以證據為基礎的隱私計劃,并通過公認的認證形式表明該計劃的合規性,并作為潛在的GDPR合規性的基礎。
現在發布的ISO27701認證標準還實現了其他一些目的。 一方面,它充當PIMS與ISMS或ISO27001之間關系和連接的概述。它還詳述了所需的功能,并列出了PIMS數據處理器和控制器的隱私控制。 在更大范圍內,ISO27701認證將信息隱私要求映射到相關的ISO標準和GDPR。
下面提供了適用于控制器和處理器的某些關鍵ISO27701認證關鍵要求的高級概述。
ISO27701認證對適用于控制器和處理器的要求
1)機密性--被授權訪問PII的個人必須簽署保密協議。
2)分析風險--必須進行隱私風險評估以識別PII處理風險。
3)監督--組織必須任命一個負責制定,實施,維護和監視其治理和隱私計劃的人員。
4)培訓--需要對有權使用PII的人員進行隱私意識培訓。
5)內部流程--組織必須采用各種政策和程序,例如針對違反PII的事件響應計劃。
6)保持記錄--ISO27701要求組織保留所有PII處理活動的記錄,包括管轄區之間的PII轉移和向第三方的披露。
ISO27701認證對控制器特定要求
1)隱私權聲明--組織必須提供隱私政策,其中包含有關PII收集,使用和處理的特定信息。
2)處理器合同要求--組織必須與處理者簽訂書面合同,處理特定項目,例如保護PII,將處理限制為收集PII的特定目的,并提供違反PII的通知。
3)個人權利--ISO27701要求組織實施各種機制,以容納個人訪問,更正和刪除其PII的權利,以及反對或限制PII的處理等。
4)設計和默認情況下的隱私--組織必須采取措施,通過設計使隱私原則和默認情況下的隱私原則付諸實踐。
ISO27701認證對處理器特定要求
1)加工限制--組織必須僅根據控制器或處理器的書面說明來處理PII(取決于客戶的角色)
2)協助個人權利--ISO27701要求加工商采取措施,協助客戶遵守個人權利。
3)轉讓和披露--加工商必須提前將司法管轄區之間的PII轉移或其任何預期變更告知客戶。
4)分包商--ISO27701要求加工商僅根據客戶合同的條款聘用分包商來處理PII。
ISO27701認證的好處
符合ISO27701認證首先要求符合ISO27001的要求。它們旨在相互補充。 遵循ISO27701認證要求的組織將創建有關其如何處理PII的書面證據,可用于促進與PII的處理相關的業務伙伴的協議,并闡明組織與其他利益相關者的PII的處理。 盡管GDPR尚無認可的認證方法,但根據最近的報道,ISO27701認證可能會在不久的將來改變這一現狀。
如何實施ISO27001認證?
要求供應商代表他們處理和維護PII的客戶應考慮合同規定這些供應商不僅要遵守ISO27001,而且要符合ISO27701,或者在適用于數據敏感性的情況下獲得ISO27701標準的認證。 即使客戶不要求供應商通過獨立的第三方認證也符合新標準ISO27701認證,他們仍可能希望更新合同以確保供應商可以符合ISO27701認證的要求。由于ISO27701認證仍然非常對于新合同,賣方應遵守本新標準的規定合理的時間延遲,以便將其包括在這些合同中。
已通過ISO27001認證并希望實施ISO27701要求的組織應考慮采取以下步驟:
1)對現有ISMS進行符合ISO27701認證要求的差距評估,并就如何解決這些差距制定行動計劃。
2)對組織收集的PII進行數據映射,以了解收集的PII的范圍以及如何使用和與處理器共享。
3)根據與組織環境相關的內部或外部因素(例如適用的隱私法規,法規,司法決定或合同要求)確定組織作為控制者和/或處理者的角色。
4)查看并更新隱私策略,以確保它們包含必需的信息。
5)制定適用于組織角色的政策和程序。
6)通過設計和默認原則開始規劃和實施隱私。
在世界各地,立法者和監管者都在引入新的法律來規范數據的使用,尤其是PII。 最近,GDPR的出現使許多企業(包括客戶和供應商)爭相達成合規性。 不斷變化的法律環境給所有企業帶來了挑戰,尤其是必須遵守多個司法管轄區法規的企業。 新的ISO27701認證標準不會嘗試單獨和本地處理每項新法律,而是提供一種統一的方式來決定,計劃,實施和記錄組織在全球范圍內的數據隱私方法。
無論組織的規模大小,是PII的控制者還是處理者,企業都應考慮為自己的組織或向供應商要求獲得ISO27701認證。 對于處理敏感或大量PII的處理器,子處理器和聯合控制器尤其如此。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
