随着社交媒体APP和物联网设备在生活中的广泛应用,以及全球隐私法律法规的激增,诸如:《欧盟通用数据保护条例》(GDPR)、《加州消费者隐私法》(CCPA)和《中国网络安全法》(China network security Law),隐私保护问题已然成为了当前社会的焦点,这意味着组织现在面临着来自客户、最终用户、投资者和监管机构的多重压力,企业如何管理个人可识别信息(PII)或个人数据,如何确保隐私合规,都成为摆在企业面前亟待解决的新问题和新挑战。
隐私的概念经常被误解或被错误地对待。许多企业认为,不将数据传递给第三方并确保其数据库受密码保护就足够了。诸如“同意”、“托收目的”或“跨境转移”等概念要么被忽视,要么不被理解。针对GDPR和CCPA的严厉罚款让许多组织已经意识到了这些风险,并开始注重其隐私保护。
2019年8月发布的隐私安全标准ISO/IEC 27701:2019,能帮助企业拓展ISO /IEC 27001体系对保护隐私的局限性,更全面、准确、充分地应对隐私保护及合规要求。
今天我们先来看看ISO/IEC 27701:2019 标准的结构及其与 ISO/IEC 27001 和 ISO/IEC 27002之间的关系。
ISO/IEC 27701:2019的正式名称为安全技术--ISO/IEC 27001 和 ISO/IEC 27002 对隐私信息管理的扩展--要求和指南。其以ISO/IEC 27001 和 ISO/IEC 27002 对隐私信息管理的扩展方式,为在组织范围内建立、实施、维护和持续改进隐私信息管理体系(PIMS)指定要求,并提供指南。
与ISO/IEC 27001 配合使用,是认证要求和实施指南的组合体。 它是对ISO/IEC 27001 的扩展,因其增加了附加的PIMS 相关要求,如条款5、附录 A 和附录 B。认证要求在标准中共有67项,表述为'应'。同时,为组织实施 PIMS,还增加了从ISO/IEC 27002 到 PIMS的附加指南,例如条款6、7和8。
一表了解ISO/IEC 27701:2019 标准的详细结构:
条款 | 条款标题 | 备注 |
1 | 范围 | 标准的适用性 |
2 | 规范性引用文件 | 标准参考 |
3 | 术语、定义和缩写 | |
4 | 总则 | 标准结构的描述 |
5 | 与 ISO/IEC 27001 相关的PIMS特定要求 | 在ISO/IEC 27001 中要求的PIMS特定要求 |
6 | 与 ISO/IEC 27002 相关的PIMS特定指南 | 在ISO/IEC 27002中,PIMS对控制点的特定指南 |
7 | 对PII控制者附加的ISO/IEC 27002指南 | 对PII控制者的附加ISO/IEC 27002指南 |
8 | 对PII处理者附加的ISO/IEC 27002指南 | 对PII处理者附加的ISO/IEC 27002指南 |
附录 A | (规范性附录)PIMS特定参考控制目标和控制(PII 控制者) | 强制性控制,适用于数据控制者 |
附录 B | (规范性附录)PIMS特定参考控制目标和控制(PII 处理者) | 强制性控制,适用于数据处理者 |
附录 C | 与ISO/IEC 29100的对照关系 | 非认证的、信息性的附录 |
附录 D | 与通用数据保护条例(GDPR)的对照关系 |
|
附录 E | 附录 E(信息性),与ISO/IEC 27018和ISO/IEC 29151 的对照关系 |
|
附录 F | 如何将ISO/IEC 27701 应用于ISO/IEC 27001 和 ISO/IEC 27002 |
主要条款详情:
条款5 与 ISO/IEC 27001 相关的PIMS特定要求
涵盖了对 ISO/IEC 27001:2013 条款4~10附加的要求,均为认证要求。例如,如本标准中条款5.7.2 的表述:
ISO/IEC 27001:2013,9.2 中所述要求以及5.1 中所述的解释均适用。
该标准不增加任何新的内部审核要求,只要组织理解这是ISO/IEC 27001:2013 对处理个人可识别信息(PII)所可能增加风险的“信息安全”要求。
ISO/IEC 27701:2019对ISO/IEC 27001的以下条款增加了附加的要求:
4.1 | 理解组织及其环境 |
4.2 | 理解相关方的需求和期望 |
4.3 | 确定信息安全管理体系的范围 |
6.1.2 | 信息安全风险评估 |
6.1.3 | 信息安全风险处置 |
条款6 与ISO/IEC 27002相关的PIMS特定指南
涵盖了与ISO/IEC 27002有关的其他PIMS相关指南。例如,标准条款6.9.4.4(与 ISO/IEC 27001:2013 的12.4.4 时钟同步相对应)不包含任何附加要求,因为时钟同步与隐私风险没有相关性。另一方面,标准条款6.9.3.1 (与 ISO/IC 27001:2013 的12.3.1 信息备份相对应)则增加较多的隐私管理指南,因为信息备份可能存在隐私风险,例如数据保留期、跨境数据传输等。下表总结了 ISO/IEC 27002 各个领域中的控制点的数量。在 ISO/IEC 27002 中,共对32项新的控制点进行了修订。与ISO/IEC 27002一样,条款6中的指南为非认证条款。
ISO/IEC 27002条款 | 修订的控制点数量 | ISO/IEC 27002条款 | 修订的控制点数量 |
5 | 1 | 12 | 3 |
6 | 2 | 13 | 2 |
7 | 1 | 14 | 5 |
8 | 5 | 15 | 1 |
9 | 3 | 16 | 2 |
10 | 1 | 17 | 0 |
11 | 2 | 18 | 4 |
条款7 对PII控制者附加的ISO/IEC 27002指南
为 PII 控制者提供指南。对于 PII 控制者所需的所有控制点都列在标准的附录A 中。这些控制点是规范性的,这意味着如果组织作为控制者,则应实施这些控制(参见如下认证中的 PII 控制者与PII 处理者)。条款7中所提供的指南有助于组织实施这些控制。然而,这些指南为非认证性的。
条例 | 控制方面 | 控制点数量 |
A. 7.2 | 数据收集和处理的条件 | 8项控制 |
A. 7.3 | (应履行)对PII所有者的义务 | 10项控制 |
A. 7.4 | 从设计开始保护隐私和默认保护隐私 | 9项控制 |
A. 7.5 | PII 信息的共享、转让和披露 | 4项控制 |
条款8 对PII处理者附加的ISO/IEC 27002指南
为 PII 处理者提供指南。本标准附录 B 列出了 PII 处理者的控制点。与附录 A 相似,如果组织作为处理者,这些控制点是规范性的。条款8的指南是非认证性的。
条例 | 控制方面 | 控制点数量 |
B. 8.2 | 数据收集和处理的条件 | 6项控制 |
B. 8.3 | 应履行对PII所有者的义务 | 1项控制 |
B. 8.4 | 从设计开始保护隐私和默认保护隐私设置 | 3项控制 |
B. 8.5 | PII 信息的共享、转让和披露 | 8项控制 |
企业获得 ISO/IEC 27701 认证的益处
获取客户关于组织对隐私信息管理方面的信任,以获得潜在业务
证实组织对其产品和服务目标市场所在地隐私法规的遵从,获得所在地的市场准入
向相关方证实其在隐私管理方面的能力和符合性
组织自身为证实其在隐私管理方面的能力和符合性
以上是隐私信息管理体系的部分科普内容,如需第一时间掌握更多标准科普信息,请持续关注我们,您还可以扫描下方二维码,填写信息后即可下载ISO/IEC 27701:2019 相关的详细资料!
SGS作为国际公认的检验、鉴定、测试和认证机构,在全球IT领域率先成立了网络实验室及GDPR 方案解决中心,并且是颁发全球第一张ISO 22301认证证书的第三方机构。
SGS秉持务实、创新的精神,已为众多知名品牌企业提供IT相关的认证及培训服务,如:DHL 、飞利浦、青莲云等,我们提供的服务解决方案,助力您的企业合规发展:
ISO/IEC 27701认证
已通过ISO/IEC 27001认证有计划与ISO/IEC 27701同时认证
为期两天的 ISO/IEC 27701 培训
四天的ISO/IEC 27001 + ISO/IEC 27701 培训
GDPR 培训
针对特定或当地隐私法规的其他培训、
16th Floor, Block A, No.73 Fucheng Road, Century Yuhui Mansion,
北京, Haidian District, 中国大陆