Skip to Menu Skip to Search 联系我们 China 网站和语言 Skip to Content

随着社交媒体APP和物联网设备在生活中的广泛应用,以及全球隐私法律法规的激增,诸如:《欧盟通用数据保护条例》(GDPR)、《加州消费者隐私法》(CCPA)和《中国网络安全法》(China network security Law),隐私保护问题已然成为了当前社会的焦点,这意味着组织现在面临着来自客户、最终用户、投资者和监管机构的多重压力,企业如何管理个人可识别信息(PII)或个人数据,如何确保隐私合规,都成为摆在企业面前亟待解决的新问题和新挑战。

隐私的概念经常被误解或被错误地对待。许多企业认为,不将数据传递给第三方并确保其数据库受密码保护就足够了。诸如“同意”、“托收目的”或“跨境转移”等概念要么被忽视,要么不被理解。针对GDPR和CCPA的严厉罚款让许多组织已经意识到了这些风险,并开始注重其隐私保护。

2019年8月发布的隐私安全标准ISO/IEC 27701:2019,能帮助企业拓展ISO /IEC 27001体系对保护隐私的局限性,更全面、准确、充分地应对隐私保护及合规要求。

今天我们先来看看ISO/IEC 27701:2019 标准的结构及其与 ISO/IEC 27001 和 ISO/IEC 27002之间的关系。

ISO/IEC 27701:2019的正式名称为安全技术--ISO/IEC 27001 和 ISO/IEC 27002 对隐私信息管理的扩展--要求和指南。其以ISO/IEC 27001 和 ISO/IEC 27002 对隐私信息管理的扩展方式,为在组织范围内建立、实施、维护和持续改进隐私信息管理体系(PIMS)指定要求,并提供指南。

与ISO/IEC 27001 配合使用,是认证要求和实施指南的组合体。 它是对ISO/IEC 27001 的扩展,因其增加了附加的PIMS 相关要求,如条款5、附录 A 和附录 B。认证要求在标准中共有67项,表述为'应'。同时,为组织实施 PIMS,还增加了从ISO/IEC 27002 到 PIMS的附加指南,例如条款6、7和8。

一表了解ISO/IEC 27701:2019 标准的详细结构:

条款

条款标题

备注

1

范围

标准的适用性

2

规范性引用文件

标准参考

3

术语、定义和缩写

4

总则

标准结构的描述

5

ISO/IEC 27001 相关的PIMS特定要求

ISO/IEC 27001 中要求的PIMS特定要求

6

ISO/IEC 27002 相关的PIMS特定指南

ISO/IEC 27002中,PIMS对控制点的特定指南

7

PII控制者附加的ISO/IEC 27002指南

PII控制者的附加ISO/IEC 27002指南

8

PII处理者附加的ISO/IEC 27002指南

PII处理者附加的ISO/IEC 27002指南

附录 A

(规范性附录)PIMS特定参考控制目标和控制(PII 控制者)

强制性控制,适用于数据控制者

附录 B

(规范性附录)PIMS特定参考控制目标和控制(PII 处理者)

强制性控制,适用于数据处理者

附录 C

ISO/IEC 29100的对照关系

非认证的、信息性的附录

附录 D

与通用数据保护条例(GDPR)的对照关系

 

附录 E

附录 E(信息性),与ISO/IEC 27018ISO/IEC 29151 的对照关系

 

附录 F

如何将ISO/IEC 27701 应用于ISO/IEC 27001 ISO/IEC 27002

主要条款详情:

条款5 与 ISO/IEC 27001 相关的PIMS特定要求

涵盖了对 ISO/IEC 27001:2013 条款4~10附加的要求,均为认证要求。例如,如本标准中条款5.7.2 的表述:

ISO/IEC 27001:2013,9.2 中所述要求以及5.1 中所述的解释均适用。

该标准不增加任何新的内部审核要求,只要组织理解这是ISO/IEC 27001:2013 对处理个人可识别信息(PII)所可能增加风险的“信息安全”要求。

ISO/IEC 27701:2019对ISO/IEC 27001的以下条款增加了附加的要求:

4.1

理解组织及其环境

4.2

理解相关方的需求和期望

4.3

确定信息安全管理体系的范围

6.1.2

信息安全风险评估

6.1.3

信息安全风险处置

条款6 与ISO/IEC 27002相关的PIMS特定指南

涵盖了与ISO/IEC 27002有关的其他PIMS相关指南。例如,标准条款6.9.4.4(与 ISO/IEC 27001:2013 的12.4.4 时钟同步相对应)不包含任何附加要求,因为时钟同步与隐私风险没有相关性。另一方面,标准条款6.9.3.1 (与 ISO/IC 27001:2013 的12.3.1 信息备份相对应)则增加较多的隐私管理指南,因为信息备份可能存在隐私风险,例如数据保留期、跨境数据传输等。下表总结了 ISO/IEC 27002 各个领域中的控制点的数量。在 ISO/IEC 27002 中,共对32项新的控制点进行了修订。与ISO/IEC 27002一样,条款6中的指南为非认证条款。

ISO/IEC 27002条款

修订的控制点数量

ISO/IEC 27002条款

修订的控制点数量

5

1

12

3

6

2

13

2

7

1

14

5

8

5

15

1

9

3

16

2

10

1

17

0

11

2

18

4

条款7 对PII控制者附加的ISO/IEC 27002指南

为 PII 控制者提供指南。对于 PII 控制者所需的所有控制点都列在标准的附录A 中。这些控制点是规范性的,这意味着如果组织作为控制者,则应实施这些控制(参见如下认证中的 PII 控制者与PII 处理者)。条款7中所提供的指南有助于组织实施这些控制。然而,这些指南为非认证性的。

条例

控制方面

控制点数量

A. 7.2

数据收集和处理的条件

8项控制

A. 7.3

(应履行)对PII所有者的义务

10项控制

A. 7.4

从设计开始保护隐私和默认保护隐私

9项控制

A. 7.5

PII 信息的共享、转让和披露

4项控制

条款8 对PII处理者附加的ISO/IEC 27002指南

为 PII 处理者提供指南。本标准附录 B 列出了 PII 处理者的控制点。与附录 A 相似,如果组织作为处理者,这些控制点是规范性的。条款8的指南是非认证性的。

条例

控制方面

控制点数量

B. 8.2

数据收集和处理的条件

6项控制

B. 8.3

应履行对PII所有者的义务

1项控制

B. 8.4

从设计开始保护隐私和默认保护隐私设置

3项控制

B. 8.5

PII 信息的共享、转让和披露

8项控制

企业获得 ISO/IEC 27701 认证的益处

获取客户关于组织对隐私信息管理方面的信任,以获得潜在业务

证实组织对其产品和服务目标市场所在地隐私法规的遵从,获得所在地的市场准入

向相关方证实其在隐私管理方面的能力和符合性

组织自身为证实其在隐私管理方面的能力和符合性

以上是隐私信息管理体系的部分科普内容,如需第一时间掌握更多标准科普信息,请持续关注我们,您还可以扫描下方二维码,填写信息后即可下载ISO/IEC 27701:2019 相关的详细资料!

SGS作为国际公认的检验、鉴定、测试和认证机构,在全球IT领域率先成立了网络实验室及GDPR 方案解决中心,并且是颁发全球第一张ISO 22301认证证书的第三方机构。

SGS秉持务实、创新的精神,已为众多知名品牌企业提供IT相关的认证及培训服务,如:DHL 、飞利浦、青莲云等,我们提供的服务解决方案,助力您的企业合规发展:

ISO/IEC 27701认证

已通过ISO/IEC 27001认证有计划与ISO/IEC 27701同时认证

为期两天的 ISO/IEC 27701 培训

四天的ISO/IEC 27001 + ISO/IEC 27701 培训

GDPR 培训

针对特定或当地隐私法规的其他培训、解决方案