购物车(
0
)
隐私信息管理体系ISO/IEC 27701标准解析
随着社交媒体APP和物联网设备在生活中的广泛应用,以及全球隐私法律法规的激增,诸如:《欧盟通用数据保护条例》(GDPR)、《加州消费者隐私法》(CCPA)和《中国网络安全法》(China network security Law),隐私保护问题已然成为了当前社会的焦点,这意味着组织现在面临着来自客户、最终用户、投资者和监管机构的多重压力,企业如何管理个人可识别信息(PII)或个人数据,如何确保隐私合规,都成为摆在企业面前亟待解决的新问题和新挑战。
隐私的概念经常被误解或被错误地对待。许多企业认为,不将数据传递给第三方并确保其数据库受密码保护就足够了。诸如“同意”、“托收目的”或“跨境转移”等概念要么被忽视,要么不被理解。针对GDPR和CCPA的严厉罚款让许多组织已经意识到了这些风险,并开始注重其隐私保护。
2019年8月发布的隐私安全标准ISO/IEC 27701:2019,能帮助企业拓展ISO/IEC 27001体系对保护隐私的局限性,更全面、准确、充分地应对隐私保护及合规要求。
我们先来看看ISO/IEC 27701:2019 标准的结构及其与 ISO/IEC 27001 和 ISO/IEC 27002之间的关系。
ISO/IEC 27701:2019的正式名称为安全技术--ISO/IEC 27001 和 ISO/IEC 27002 对隐私信息管理的扩展--要求和指南。其以ISO/IEC 27001 和 ISO/IEC 27002 对隐私信息管理的扩展方式,为在组织范围内建立、实施、维护和持续改进隐私信息管理体系(PIMS)指定要求,并提供指南。
与ISO/IEC 27001 配合使用,是认证要求和实施指南的组合体。 它是对ISO/IEC 27001 的扩展,因其增加了附加的PIMS 相关要求,如条款5、附录 A 和附录 B。认证要求在标准中共有67项,表述为'应'。同时,为组织实施 PIMS,还增加了从ISO/IEC 27002 到 PIMS的附加指南,例如条款6、7和8。
一表了解ISO/IEC 27701:2019 标准的详细结构:
|
条款 |
条款标题 |
备注 |
|
1 |
范围 |
标准的适用性 |
|
2 |
规范性引用文件 |
标准参考 |
|
3 |
术语、定义和缩写 |
|
|
4 |
总则 |
标准结构的描述 |
|
5 |
与 ISO/IEC 27001 相关的PIMS特定要求 |
在ISO/IEC 27001中要求的 |
|
6 |
与 ISO/IEC 27002 相关的PIMS特定指南 |
在ISO/IEC 27002中PIMS |
|
7 |
对PII控制者附加的ISO/IEC 27002指南 |
对PII控制者的 |
|
8 |
对PII处理者附加的ISO/IEC 27002指南 |
对PII处理者附加的 |
|
附录 A |
(规范性附录) |
强制性控制,适用于数据控制者 |
|
附录 B |
(规范性附录) |
强制性控制,适用于数据处理者 |
|
附录 C |
与ISO/IEC 29100的对照关系 |
非认证的、信息性的附录 |
|
附录 D |
与通用数据保护条例(GDPR)的对照关系 |
|
|
附录 E |
附录 E(信息性) |
|
|
附录 F |
如何将ISO/IEC 27701 |
主要条款详情:
条款5与ISO/IEC 27001相关的PIMS特定要求
涵盖了对ISO/IEC 27001:2013条款4-10附加的要求,均为认证要求。例如,如本标准中条款5.7.2 的表述:
ISO/IEC 27001:2013,9.2中所述要求以及5.1中所述的解释均适用。该标准不增加任何新的内部审核要求,只要组织理解这是ISO/IEC 27001:2013对处理个人可识别信息(PII)所可能增加风险的"信息安全"要求。
ISO/IEC 27701:2019对ISO/IEC 27001的以下条款增加了附加的要求:
|
4.1 |
理解组织及其环境 |
|
4.2 |
理解相关方的需求和期望 |
|
4.3 |
确定信息安全管理体系的范围 |
|
6.1.2 |
信息安全风险评估 |
|
6.1.3 |
信息安全风险处置 |
条款6 与ISO/IEC 27002相关的PIMS特定指南
涵盖了与ISO/IEC 27002有关的其他PIMS相关指南。例如,标准条款6.9.4.4(与 ISO/IEC 27001:2013 的12.4.4 时钟同步相对应)不包含任何附加要求,因为时钟同步与隐私风险没有相关性。另一方面,标准条款6.9.3.1 (与 ISO/IC 27001:2013 的12.3.1 信息备份相对应)则增加较多的隐私管理指南,因为信息备份可能存在隐私风险,例如数据保留期、跨境数据传输等。下表总结了 ISO/IEC 27002 各个领域中的控制点的数量。在 ISO/IEC 27002 中,共对32项新的控制点进行了修订。与ISO/IEC 27002一样,条款6中的指南为非认证条款。
|
ISO/IEC 27002条款 |
修订的控制点数量 |
ISO/IEC 27002条款 |
修订的控制点数量 |
|
5 |
1 |
12 |
3 |
|
6 |
2 |
13 |
2 |
|
7 |
1 |
14 |
5 |
|
8 |
5 |
15 |
1 |
|
9 |
3 |
16 |
2 |
|
10 |
1 |
17 |
0 |
|
11 |
2 |
18 |
4 |
条款7 对PII控制者附加的ISO/IEC 27002指南
为 PII 控制者提供指南。对于 PII 控制者所需的所有控制点都列在标准的附录A 中。这些控制点是规范性的,这意味着如果组织作为控制者,则应实施这些控制(参见如下认证中的 PII 控制者与PII 处理者)。条款7中所提供的指南有助于组织实施这些控制。然而,这些指南为非认证性的。
|
条例 |
控制方面 |
控制点数量 |
|
A. 7.2 |
数据收集和处理的条件 |
8项控制 |
|
A. 7.3 |
(应履行)对PII所有者的义务 |
10项控制 |
|
A. 7.4 |
从设计开始保护隐私和默认保护隐私 |
9项控制 |
|
A. 7.5 |
PII 信息的共享、转让和披露 |
4项控制 |
条款8 对PII处理者附加的ISO/IEC 27002指南
为 PII 处理者提供指南。本标准附录 B 列出了 PII 处理者的控制点。与附录 A 相似,如果组织作为处理者,这些控制点是规范性的。条款8的指南是非认证性的。
|
条例 |
控制方面 |
控制点数量 |
|
B. 8.2 |
数据收集和处理的条件 |
6项控制 |
|
B. 8.3 |
应履行对PII所有者的义务 |
1项控制 |
|
B. 8.4 |
从设计开始保护隐私和默认保护隐私设置 |
3项控制 |
|
B. 8.5 |
PII 信息的共享、转让和披露 |
8项控制 |
企业获得 ISO/IEC 27701 认证的益处
获取客户关于组织对隐私信息管理方面的信任,以获得潜在业务;
证实组织对其产品和服务目标市场所在地隐私法规的遵从,获得所在地的市场准入;
向相关方证实其在隐私管理方面的能力和符合性;
组织自身为证实其在隐私管理方面的能力和符合性。
以上是隐私信息管理体系的部分科普内容,如需第一时间掌握更多标准科普信息,请持续关注我们,您还可以扫描下方二维码,填写信息后即可下载ISO/IEC 27701:2019相关的详细资料!
SGS作为国际公认的检验、鉴定、测试和认证机构,在全球IT领域率先成立了网络实验室及GDPR 方案解决中心,并且是颁发全球第一张ISO 22301认证证书的第三方机构。
SGS秉持务实、创新的精神,已为众多知名品牌企业提供IT相关的认证及培训服务,如:DHL 、飞利浦、青莲云等,我们提供的服务解决方案,助力您的企业合规发展:
1. ISO/IEC 27701认证
2. 已通过ISO/IEC 27001认证有计划与ISO/IEC 27701同时认证
3. 为期两天的ISO/IEC 27701培训
4. 为期四天的ISO/IEC 27001+ISO/IEC 27701培训
5. GDPR培训
6. 针对特定或当地隐私法规的其他培训、解决方案
- 信息安全推动智能终端发展 元气森林获ISO/IEC 27001及ISO/IEC 27701双体系认证证书
- 通标风采 | SGS在广交会上举行新能源、家电企业技术创新暨碳认证发布会
- 技术解读 | 欧盟NIS2——网络和信息系统指令(第2022/2555号指令)(二)
- 聚焦欧盟新电池法规,SGS助力“中国制造”扬帆出海
- 技术解读 | 欧盟NIS2——网络和信息系统指令(第20222555号指令)(一)
- 案例 | SGS联合上海环交所授予华金新能源碳管理体系评定证书
- SGS携手TAPA成功举办物流领域风险管理和可持续沙龙
- 标准聚焦 | 世界卫生日:6个数字带您了解卫生保健领域新标准ISO 7101
- SGS联合举办品牌与创新服务管理论坛,助力企业赋能
- SGS资讯 | ESG认证服务荣膺行业年度风云榜之机构亮点
发送成功
您的咨询信息已收到,我们将尽快与您联系!
用户账号:{{ form.phone || form.email }}
已为您注册SGS在线商城会员
可使用账号快捷登陆
到“我的咨询”查看咨询进度
{{countdownTime}}秒后自动跳转
扫码关注SGS官方微信公众号, 回复“0”赢惊喜礼品!
SGS在线商城用户注册协议
-
1.1您:指提交有效申请并注册后,在本平台登录、上传、发布、提供链接等以各种形式传播内容(包括文字、图片、音频、视频、图表、漫画等)的自然人、法人或其他组织。
-
1.2平台:是通标标准技术服务有限公司设立的销售服务网站,其域名为www.sgsonline.com.cn,运营方是通标标准技术服务有限公司杭州分公司。
-
2.1在注册、使用和管理平台帐户时,请您使用真实、准确、合法、有效的相关身份证明材料及必要信息(包括您的姓名及电子邮件地址、联系电话、联系地址等),以便通标公司在必要时与您联系,并注意及时更新。为使您更好地使用平台的各项服务,请您按照相关法律规定及平台要求完成实名认证。您应当对您提供的帐号资料的真实性、合法性、准确性和有效性独立承担责任。如因此给平台公司或第三方造成损害的,您应当依法予以赔偿。
-
2.2为保障用户和公司利益,平台公司有权核查您提交的相关材料(如自然人身份证复印件、企业法人营业执照副本复印件、事业单位法人证书复印件、公司官方声明/说明等)后再决定是否核准您的注册申请。若您提交的材料或填写的信息不完整或不准确,则您可能无法使用本服务或在使用过程中受到限制。
-
2.3您所设置的帐户名不得违反国家法律法规及平台规则关于帐户名的管理规定,否则通标公司可对您的帐户名进行暂停使用或注销等处理,并向主管机关报告。
-
2.4您理解并承诺,您的帐户名称、头像和简介等注册信息中不得出现违法和不良信息,没有冒用、关联机构或社会名人,您在帐户注册过程中需遵守法律法规、社会主义制度、国家利益、公民合法权益、公共秩序、社会道德风尚和信息真实性等七条底线。
-
2.5您同意并授权,为了更好的为您提供服务以及确保您的帐户安全,通标公司可以根据您提供的手机号码、身份证号码等信息,向全国公民身份号码查询服务中心、电信运营商、金融服务机构等可靠单位发起用户身份真实性、用户征信记录、用户手机号码有效性状态等情况的查询。
-
2.6平台帐号的所有权归通标公司所有,您注册申请通过后,您将拥有平台帐号的使用权,可以登录平台使用平台的服务。平台帐号的所有权归通标公司所有,公司有权因经营需要收回帐号。同时,禁止任何赠与、借用、租用、转让或售卖帐号等的行为。如您违反本协议内容,通标公司有权对该帐户进行暂停使用、注销或停止提供服务等处理,且不承担任何法律责任,由此导致的包括并不限于您通讯中断、资料和虚拟道具等清空等损失由您自行承担。
-
3.1为了更好地为您提供服务和帮助、保护您的合法权益,请您保证申请服务时所提供的信息是真实、准确、合法、有效的,并注意及时更新,以免在使用过程中受到限制或无法使用。
-
3.2通标公司将保护用户个人信息作为公司发展的最基本原则之一,未经您的同意,不会向其他任何公司、组织或个人披露您的个人信息,法律法规另有规定的除外。
-
3.3请您在使用通标平台的过程中,不要以搜集、复制、存储、传播等任何方式使用其他用户的个人信息,否则,由此产生的后果需您自行承担。
-
4.1您需要对注册和使用时提交的信息及材料真实性、准确性、合法性、有效性负责,如因此引起的问题,由您承担全部法律责任。
-
4.2请您妥善保管您的帐户信息,并对此帐户下发生的一切活动承担全部法律责任。不向任何第三方透露帐户或密码信息,如出现或怀疑帐号和密码遭到他人使用,请尽快通知通标公司,以免您的利益受到损失。
-
4.3请您保证对在平台制作、复制、上传、发布、传播的任何内容享有合法权益,若您发布的内容发生权利纠纷或侵犯了任何第三方的合法权益,需您承担全部法律责任。
-
4.4请您遵守本协议的各项条款,并正确、适当地使用、运营、管理此平台账号,如您违反本协议中的任何条款,通标公司有权在任何时候依据本协议中止或终止对您提供服务。
-
4.5如您注册账号后连续二十四个月不登录该帐号,为避免资源浪费,通标公司有权收回该帐号,因此带来的损失将由您自行承担。
-
4.6您的言行应遵守《计算机信息网络国际联网安全保护管理办法》、《互联网信息服务管理办法》、《互联网电子公告服务管理规定》、《维护互联网安全的决定》等相关法律规定,您不能利用帐户制作、复制、上传、发布、传播任何与如下要求相悖的内容(该内容是指您使用平台过程中所制作、复制、上传、发布、传播的任何内容,包括但不限于帐户头像、名称、用户说明、注册信息及其他资料,或文字、语音、图片、视频、图文、图表、漫画等发送、回复消息、评论和相关链接页面,以及其他使用帐户平台服务所产生的内容):
(1) 反对宪法所确定的基本原则的;
(2) 危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(3) 损害国家荣誉和利益的;
(4) 煽动民族仇恨、民族歧视,破坏民族团结的;
(5) 破坏国家宗教政策,宣扬邪教和封建迷信的;
(6) 散布谣言,扰乱社会秩序,破坏社会稳定的;
(7) 散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
(8) 侮辱或者诽谤他人,侵害他人合法权益的;
(9) 含有法律、法规和政策禁止的其他内容的信息。 -
4.7为保证的正常运营及用户的良好体验,请您不要利用平台制作、复制、上传、发布、传播如下内容:
(1) 含有任何性或性暗示以及任何其他低俗类信息;
(2) 骚扰、垃圾广告;
(3) 涉及他人隐私、个人信息或资料的任何信息;
(4) 侵害他人名誉权、肖像权、知识产权、商业秘密等合法权利的任何信息;
(5) 含有其他干扰正常运营、侵犯其他用户或其他第三方合法权益内容的信息。 -
4.8为确保通标公司和用户的利益,您请在使用本平台时,不要进行如下行为(该行为是指使用帐户平台所进行的任何行为,包括但不限于注册登录、帐号运营、管理及推广以及其他行为):
(1) 提交、发布虚假信息,或冒充、利用他人名义进行相关活动;
(2) 强制、诱导其他用户关注、点击链接页面或分享信息;
(3) 虚构事实、隐瞒真相以误导、欺骗他人;
(4) 侵害他人名誉权、肖像权、知识产权、商业秘密等合法权利;
(5) 未经通标公司书面许可使用插件、外挂或其他第三方工具、服务接入本服务和相关系统;
(6) 利用平台及帐户从事违法犯罪活动;
(7) 制作、发布与以上行为相关的方法、工具,或对此类方法、工具进行运营或传播;
(8) 其他违反法律法规规定、侵犯其他用户合法权益、干扰产品正常运营或未经通标公司明示授权的行为。 -
4.9请您在任何情况下都不要私自使用通标公司的包括但不限于“SGS”在内的任何商标、服务标记、商号、域名、网站名称或其他显著品牌特征等。未经通标公司事先书面同意,您不得将本平台标识以任何方式展示、使用或申请注册商标、进行域名注册等,也不得实施向他人明示或暗示有权展示、使用、或其他有权处理本平台标识的行为。您由于非法使用本平台标识给本平台或他人造成损失的,由您承担相关法律责任。
-
4.10若您需对本平台内容创作衍生品或投放商业广告,请您另外提交书面授权申请,在符合条件且得到通标公司同意下,您方可通过该平台进行广告或推广等商业活动。
-
5.1为保障用户和公司的利益,通标公司有权对您注册时提交的材料和信息进行审查,并有权要求您改正或补充相关材料,请您理解。如果您拒绝改正或补充相关材料,您可能无法使用本服务。通标公司的审查不代表对您提交的材料和信息的真实性、准确性、真实性、合法性负责。您应当对该材料和信息独立承担责任,如因此给通标公司或第三方造成损害的, 您应当承担法律责任并予以赔偿。
-
5.2通标公司为平台的开发、运营提供技术支持,并对该平台的开发和运营等过程中产生的所有数据和信息等享有全部权利。
-
5.3如果您停止使用本服务或服务被终止或取消,通标公司有权自主决定是否从服务器上永久地删除您的数据且无需向您返还任何数据。
-
5.4通标公司保留随时变更、暂停、限制、终止或撤销平台服务的权利。公司可通过网页公告、电子邮件、电话或信件传送等方式向您发出通知,通知在发送时即视为已送达收件人,届时公司无需向您承担任何责任。
-
5.5您充分理解并同意:本服务中可能包括通标公司针对个人或企业推出的信息发布或品牌推广服务,您同意通标公司有权在本平台显示平台和/或第三方供应商、合作伙伴的商业广告或商业信息。
-
6.1在本服务中,由您通过www.sgsonline.com.cn平台上传、发布的任何内容的知识产权归属您或原始版权人所有,以上内容您授权通标公司使用并授权通标公司对侵犯以上内容版权的行为进行维权。通标公司在本服务中提供的内容(包括但不限于网页、文字、图片、音频、视频、图表等)的知识产权属于通标公司所有。通标公司提供本服务时所依托的软件的著作权、专利权及其他知识产权均归通标公司所有。
-
6.2您应当是在注册资料中提交的网站的合法权利人。本协议的合作范围是您提交网站的全部内容,除非您另有明确表示,您在注册时点击同意,即表明您同意授权通标公司收录、链接您网站中的全部内容,并通过系统以您的注册帐户自动发布。如您对授权范围另有需求可以书面方式通知通标公司并另行签订授权协议。
-
6.3您理解并且同意,为持续改善通标为您提供的各项服务,您授予通标公司及其关联方、合作方对您上传发布的任何内容具有全世界范围内的、永久的、不可撤销的、免费的、非独家的使用权。
-
6.4本服务所包含的内容的知识产权均受到法律保护,未经通标公司、用户或相关权利人书面许可,任何人不得以任何形式进行使用或创造相关衍生作品。
-
7.1用户知悉并同意:个人隐私信息是指能够对用户进行个人辨识或涉及个人通信的信息,包括用户真实姓名、身份证号、手机号码、银行账户、IP地址等。非个人隐私信息是指用户对本服务的操作状态以及使用习惯等一些明确且客观反映在本平台服务器端的基本记录信息和其他一切个人隐私信息范围外的普通信息,以及用户同意公开的上述隐私信息。
-
7.2因您使用平台不同服务内容时,为保证功能服务的完整体验,产品可能会收集到您的地理位置、读取您的通讯录、开启您使用工具的摄像头、话筒,如您不希望开启相关功能,可停止使用对应服务,通标公司不会开启与用户使用的服务无关的功能。
-
7.3本平台不对外公开或向第三方提供单个用户的注册资料及用户在使用网络服务时存储在本网站的非公开内容,但下列情况除外:
(1)事先获得用户的明确授权;
(2)根据有关的法律法规要求;
(3)按照相关政府主管部门的要求;
(4)该第三方同意承担与本平台同等的保护用户隐私的责任。 -
7.4在不透露单个用户隐私资料的前提下,本平台有权对整个用户数据库进行分析并对用户数据库进行商业上的利用。
-
7.5为了运营和改善www.sgsonline.com.cn平台的技术和服务,便于本平台向您及用户提供更好的体验和提高服务质量,通标公司将可能会自行收集使用或向第三方提供您的非个人隐私信息。
-
8.1若您提交的注册信息和材料不真实、不完整、不合法或无效,那么导致或产生的一切法律责任由您承担。通标公司有权随时封禁或删除您的平台帐号,以及中止或终止为您提供平台的相关服务。
-
8.2您理解并认可,本平台为提供信息分享、传播及获取的平台,您在使用本平台时,请您自行对内容加以判断,并承担因使用内容而引起的所有风险。您须为自己注册帐户下的一切行为负责,包括您所发表内容的真实性、合法性、准确性、有效性,以及承担因账号使用、运营、管理行为产生的结果。您应对平台中的内容自行加以判断,并承担因使用内容而引起的所有风险,包括因对内容真实性、合法性、准确性、有效性的依赖而产生的风险。通标公司无法且不会对因用户行为而导致的损失或损害承担责任。 如果您发现任何人违反本协议规定或以其他不当的方式使用平台服务,请立即举报或投诉,我们将依法进行处理。
-
8.3对违反有关法律法规或本协议规定的行为,通标公司将依法律规定及上述规则等加以合理判断进行处理,对违法违规的任何人士采取适当的法律行动,并依据法律法规保存有关信息并向有关部门报告等。
-
8.4若您上传、发布的内容或其他在www.sgsonline.com.cn平台上从事的行为侵害他人利益并引发第三方的任何索赔、要求或赔偿的,需由您承担全部法律责任。若因此给通标公司或第三方造成任何损失,您应负责赔偿并使之免受损害,损失包括但不限于诉讼费用、律师费用、和解费用、罚款或生效法律文书中规定的损害赔偿金额及其他直接或间接支出费用。
-
8.5若通标公司发现您不当使用本平台帐号或因您的帐号被他人举报投诉时,通标公司有权不经通知随时删除相关内容,并视行为情节对违规帐号进行处理,处理方式包括但不限于警告、删除部分或全部订阅用户、限制或禁止使用全部或部分功能、帐号封禁甚至注销,并有权视具体情况而公告处理结果。
-
8.6因技术故障等不可抗事件影响到服务的正常运行的,本平台及其合作单位承诺在第一时间内与相关单位配合,及时处理进行修复,但您因第三方如电信部门的通讯线路故障、技术问题、网络、电脑故障、系统不稳定性及其他各种不可抗力原因而遭受的一切损失,本平台及其合作单位不承担责任。
-
9.1您使用本服务即视为您已阅读并同意受本协议的约束。
-
9.2必要时通标公司会对本协议的部分内容进行修改。修改后,将在页面显著位置提示协议有更新,您应及时查看更新后的协议。如果您同意接受修改后的协议,您可以继续使用平台;如果您不接受则应停止使用www.sgsonline.com.cn平台服务。
-
9.3您和通标公司均是独立的主体,在任何情况下本协议不构成双方之间的代理、合伙、合营或雇佣关系。
-
9.4本协议的成立、生效、履行、解释及纠纷解决,都适用于中华人民共和国的法律。本协议条款无论因何种原因部分无效或不可执行,其余条款仍有效,对双方具有约束力。
-
9.5如双方就本协议内容或其执行发生任何争议,双方应尽量友好协商解决。协商不成时,诉讼管辖权归属本合同签订地法院。
-
9.6本协议签订地为中华人民共和国上海市徐汇区。
