随着社交媒体APP和物联网设备在生活中的广泛应用,以及全球隐私法律法规的激增,诸如:《欧盟通用数据保护条例》(GDPR)、《加州消费者隐私法》(CCPA)和《中国网络安全法》(China network security Law),隐私保护问题已然成为了当前社会的焦点,这意味着组织现在面临着来自客户、最终用户、投资者和监管机构的多重压力,企业如何管理个人可识别信息(PII)或个人数据,如何确保隐私合规,都成为摆在企业面前亟待解决的新问题和新挑战。
隐私的概念经常被误解或被错误地对待。许多企业认为,不将数据传递给第三方并确保其数据库受密码保护就足够了。诸如“同意”、“托收目的”或“跨境转移”等概念要么被忽视,要么不被理解。针对GDPR和CCPA的严厉罚款让许多组织已经意识到了这些风险,并开始注重其隐私保护。
2019年8月发布的隐私安全标准ISO/IEC 27701:2019,能帮助企业拓展ISO/IEC 27001体系对保护隐私的局限性,更全面、准确、充分地应对隐私保护及合规要求。
我们先来看看ISO/IEC 27701:2019 标准的结构及其与 ISO/IEC 27001 和 ISO/IEC 27002之间的关系。
ISO/IEC 27701:2019的正式名称为安全技术--ISO/IEC 27001 和 ISO/IEC 27002 对隐私信息管理的扩展--要求和指南。其以ISO/IEC 27001 和 ISO/IEC 27002 对隐私信息管理的扩展方式,为在组织范围内建立、实施、维护和持续改进隐私信息管理体系(PIMS)指定要求,并提供指南。
与ISO/IEC 27001 配合使用,是认证要求和实施指南的组合体。 它是对ISO/IEC 27001 的扩展,因其增加了附加的PIMS 相关要求,如条款5、附录 A 和附录 B。认证要求在标准中共有67项,表述为'应'。同时,为组织实施 PIMS,还增加了从ISO/IEC 27002 到 PIMS的附加指南,例如条款6、7和8。
一表了解ISO/IEC 27701:2019 标准的详细结构:
条款 |
条款标题 |
备注 |
1 |
范围 |
标准的适用性 |
2 |
规范性引用文件 |
标准参考 |
3 |
术语、定义和缩写 |
|
4 |
总则 |
标准结构的描述 |
5 |
与 ISO/IEC 27001 相关的PIMS特定要求 |
在ISO/IEC 27001中要求的 |
6 |
与 ISO/IEC 27002 相关的PIMS特定指南 |
在ISO/IEC 27002中PIMS |
7 |
对PII控制者附加的ISO/IEC 27002指南 |
对PII控制者的 |
8 |
对PII处理者附加的ISO/IEC 27002指南 |
对PII处理者附加的 |
附录 A |
(规范性附录) |
强制性控制,适用于数据控制者 |
附录 B |
(规范性附录) |
强制性控制,适用于数据处理者 |
附录 C |
与ISO/IEC 29100的对照关系 |
非认证的、信息性的附录 |
附录 D |
与通用数据保护条例(GDPR)的对照关系 |
|
附录 E |
附录 E(信息性) |
|
附录 F |
如何将ISO/IEC 27701 |
主要条款详情:
条款5与ISO/IEC 27001相关的PIMS特定要求
涵盖了对ISO/IEC 27001:2013条款4-10附加的要求,均为认证要求。例如,如本标准中条款5.7.2 的表述:
ISO/IEC 27001:2013,9.2中所述要求以及5.1中所述的解释均适用。该标准不增加任何新的内部审核要求,只要组织理解这是ISO/IEC 27001:2013对处理个人可识别信息(PII)所可能增加风险的"信息安全"要求。
ISO/IEC 27701:2019对ISO/IEC 27001的以下条款增加了附加的要求:
4.1 |
理解组织及其环境 |
4.2 |
理解相关方的需求和期望 |
4.3 |
确定信息安全管理体系的范围 |
6.1.2 |
信息安全风险评估 |
6.1.3 |
信息安全风险处置 |
条款6 与ISO/IEC 27002相关的PIMS特定指南
涵盖了与ISO/IEC 27002有关的其他PIMS相关指南。例如,标准条款6.9.4.4(与 ISO/IEC 27001:2013 的12.4.4 时钟同步相对应)不包含任何附加要求,因为时钟同步与隐私风险没有相关性。另一方面,标准条款6.9.3.1 (与 ISO/IC 27001:2013 的12.3.1 信息备份相对应)则增加较多的隐私管理指南,因为信息备份可能存在隐私风险,例如数据保留期、跨境数据传输等。下表总结了 ISO/IEC 27002 各个领域中的控制点的数量。在 ISO/IEC 27002 中,共对32项新的控制点进行了修订。与ISO/IEC 27002一样,条款6中的指南为非认证条款。
ISO/IEC 27002条款 |
修订的控制点数量 |
ISO/IEC 27002条款 |
修订的控制点数量 |
5 |
1 |
12 |
3 |
6 |
2 |
13 |
2 |
7 |
1 |
14 |
5 |
8 |
5 |
15 |
1 |
9 |
3 |
16 |
2 |
10 |
1 |
17 |
0 |
11 |
2 |
18 |
4 |
条款7 对PII控制者附加的ISO/IEC 27002指南
为 PII 控制者提供指南。对于 PII 控制者所需的所有控制点都列在标准的附录A 中。这些控制点是规范性的,这意味着如果组织作为控制者,则应实施这些控制(参见如下认证中的 PII 控制者与PII 处理者)。条款7中所提供的指南有助于组织实施这些控制。然而,这些指南为非认证性的。
条例 |
控制方面 |
控制点数量 |
A. 7.2 |
数据收集和处理的条件 |
8项控制 |
A. 7.3 |
(应履行)对PII所有者的义务 |
10项控制 |
A. 7.4 |
从设计开始保护隐私和默认保护隐私 |
9项控制 |
A. 7.5 |
PII 信息的共享、转让和披露 |
4项控制 |
条款8 对PII处理者附加的ISO/IEC 27002指南
为 PII 处理者提供指南。本标准附录 B 列出了 PII 处理者的控制点。与附录 A 相似,如果组织作为处理者,这些控制点是规范性的。条款8的指南是非认证性的。
条例 |
控制方面 |
控制点数量 |
B. 8.2 |
数据收集和处理的条件 |
6项控制 |
B. 8.3 |
应履行对PII所有者的义务 |
1项控制 |
B. 8.4 |
从设计开始保护隐私和默认保护隐私设置 |
3项控制 |
B. 8.5 |
PII 信息的共享、转让和披露 |
8项控制 |
企业获得 ISO/IEC 27701 认证的益处
获取客户关于组织对隐私信息管理方面的信任,以获得潜在业务;
证实组织对其产品和服务目标市场所在地隐私法规的遵从,获得所在地的市场准入;
向相关方证实其在隐私管理方面的能力和符合性;
组织自身为证实其在隐私管理方面的能力和符合性。
以上是隐私信息管理体系的部分科普内容,如需第一时间掌握更多标准科普信息,请持续关注我们,您还可以扫描下方二维码,填写信息后即可下载ISO/IEC 27701:2019相关的详细资料!
SGS作为国际公认的检验、鉴定、测试和认证机构,在全球IT领域率先成立了网络实验室及GDPR 方案解决中心,并且是颁发全球第一张ISO 22301认证证书的第三方机构。
SGS秉持务实、创新的精神,已为众多知名品牌企业提供IT相关的认证及培训服务,如:DHL 、飞利浦、青莲云等,我们提供的服务解决方案,助力您的企业合规发展:
1. ISO/IEC 27701认证
2. 已通过ISO/IEC 27001认证有计划与ISO/IEC 27701同时认证
3. 为期两天的ISO/IEC 27701培训
4. 为期四天的ISO/IEC 27001+ISO/IEC 27701培训
5. GDPR培训
6. 针对特定或当地隐私法规的其他培训、解决方案
发送成功
您的咨询信息已收到,我们将尽快与您联系!
用户账号:{{ form.phone || form.email }}
已为您注册SGS在线商城会员
可使用账号快捷登陆
到“我的咨询”查看咨询进度
{{countdownTime}}秒后自动跳转
扫码关注SGS官方微信公众号, 回复“0”赢惊喜礼品!
SGS在线商城用户注册协议
投诉专线:400-880-3955 (周一~周五9:00-17:00)
财务/发票:CNAP.PEK@sgs.com
招聘面试:CN.HR@sgs.com
廉政诚信:CN.CG@sgs.com