在越來越緊密聯繫的世界中��� ,保護私隱越來越成為一種社會需求��� 。政府引入的新私隱法規��� ,例如歐盟通用數據保護法規(GDPR)��� ,要求公司做出回應��� 。ISO標準��� ,例如ISO/IEC 27701��� ,將幫助您的企業滿足要求並管理與個人身份信息(PII)相關的私隱風險��� 。
在客戶��� ,消費者和其他利益相關者的心中��� ,對個人信息的信任和問責的需求正在增長��� 。但是��� ,風險要比合規性更為廣泛��� 。公司必須具備適當的能力��� ,流程和系統��� 。隨着與私隱和數據保護有關的投訴和罰款的數量在增加��� ,似乎越來越需要指導��� 。
在ISO/IEC27001認證要求的基礎上��� ,ISO/IEC 27701認證提供了要求並幫助公司管理與個人身份信息(PII)有關的私隱風險��� 。它還可以幫助公司遵守GDPR以及其他數據保護法規��� 。這兩個標準可以組合認證��� 。
什麼是ISO/IEC 27701?
ISO/IEC 27701認證規定了要求��� ,並為建立��� ,實施��� ,維護和持續改進私隱信息管理體系(PIMS)提供指導��� 。它建立在ISO/IEC 27001��� ,信息安全管理體系(ISMS)標準的要求以及ISO/IEC 27002中信息安全控制操作規範的基礎上��� 。
ISO/IEC 27701認證提供了用於保護個人身份信息(PII)的管理體系框架��� 。它涵蓋了組織應如何管理個人信息並協助證明其符合可能適用的私隱法規��� 。
如果您已實施ISO/IEC 27001認證��� ,則ISO/IEC 27701認證會將您的安全性工作擴展到涵蓋私隱管理��� 。這包括對PII的處理��� ,以證明其符合數據保護法規(例如GDPR)��� 。
對於沒有現有符合ISO/IEC 27001認證的信息安全管理體系的組織��� ,可以在單個項目中實施兩個標準(ISO/IEC 27001認證和ISO/IEC 27701認證)��� 。
誰應該實施ISO/IEC 27701認證?
ISO/IEC 27701認證向在信息安全管理體系中負責PII(個人身份信息)處理的任何組織提供指南��� 。各種規模和類型的組織��� ,包括上市公司和私營公司以及政府實體和其他類型的組織��� ,都可以從中受益��� 。它提供了一種基於風險的方法��� ,可以幫助組織應對所面臨的特定私隱風險以及個人數據和私隱風險��� 。
為什麼ISO/IEC 27701認證對我的業務有利?
ISO/IEC 27701認證私隱信息管理體系(PIMS)有幾個好處:1)建立對公司管理客戶和員工個人信息能力的信任��� 。
2)支持符合GDPR和其他適用的私隱法規��� 。
3)闡明組織內的角色和職責��� 。
4)提高內部能力和流程��� ,避免違規��� 。
5)為建立的私隱管理控件提供透明性��� 。
6)在PII的處理相互關聯的情況下��� ,與業務合作夥伴達成協議��� 。
7)與領先的信息安全標準ISO/IEC 27001認證輕鬆集成��� 。
ISO 27701的結構
ISO 27701在以下部分中以更詳細的方式擴展了ISO 27001和ISO27002的要求��� ,以考慮到可能受到個人信息的處理和影響的私隱保護��� 。
第5條∶本節中規定的要求可追溯至ISO 27001的第4至10段��� ,擴展了專門針對組織環境的第4段和第6段的風險管理計劃的信息保護要求��� ,具餘部分未提供其他要求的段落��� 。
第6條:本節擴展了ISO 27002良好做法指南中規定的要求和ISO 27001附件A中規定的控件��� ,回顧了114項控件��� ,並擴展了對控件域5至18中信息保護的要求��� ,域17(業務連續性中的信息安全)除外��� ,在域17中沒有為現有措施建立其他措施��� 。
條款7∶確定針對個人身份信息(PII)所有者的其他控制措施和實施指南��� 。不能完全實施這些控制措施��� ,但必須適當證明其適用性或排除性��� 。
條款8:類似於條款7的要求��� ,本節為負責處理簽約第三方個人信息的人員建立了額外的控件和實施建議��� ,同時考慮到它們是否進而外包了服務��� 。
如何使用ISO/IEC 27701認證遵守GDPR?
實施符合ISO/IEC 27701認證和ISO/IEC 27001認證的管理體系將使您的公司滿足GDPR和其他數據保護法規中規定的私隱和信息安全要求��� 。GDPR要求組織採取適當的技術和組織措施(包括政策��� ,程序和流程)來保護其處理的個人數據(根據第5條第2款)��� 。
ISO/IEC 27001認證是ISMS(信息安全管理體系)的國際標準��� ,為實現降低違規風險所需的技術和操作要求提供了一個很好的起點��� 。
ISO/IEC 27701認證基於ISO 27001認證中的要求��� ,控制目標和控制��� ,並通過一組私隱擴展了PIMS(私隱信息管理體系)的要求��� ,並為建立��� ,實施��� ,維護和持續改進提供了指導��� 。-特定要求��� ,控制目標和控制��� 。附件交叉引用了GDPR和ISO/IEC 27701��� 。但是��� ,該標準不是特定於GDPR的��� 。
兩種標準都可以幫助合規公司滿足並證明其符合GDPR的私隱和信息安全要求��� 。
儘管ISO/IEC 27701認證當前未解決第42條中GDPR概述的認證機制��� ,但您可以通過獨立的第三方獲得與ISO/IEC 27001認證結合的ISO/IEC 27701認證證書��� 。
