隱私信息管理體系ISO/IEC 27701標準解析

隨著社交媒體APP和物聯網設備在生活中的廣泛應用，以及全球隱私法律法規的激增，諸如：《歐盟通用數據保護條例》（GDPR）、《加州消費者隱私法》（CCPA）和《中國網絡安全法》（China network security Law），隱私保護問題已然成為了當前社會的焦點，這意味著組織現在面臨著來自客戶、最終用戶、投資者和監管機構的多重壓力，企業如何管理個人可識別信息（PII）或個人數據，如何確保隱私合規，都成為擺在企業面前亟待解決的新問題和新挑戰。

隱私的概念經常被誤解或被錯誤地對待。許多企業認為，不將數據傳遞給第三方并確保其數據庫受密碼保護就足夠了。諸如“同意”、“托收目的”或“跨境轉移”等概念要么被忽視，要么不被理解。針對GDPR和CCPA的嚴厲罰款讓許多組織已經意識到了這些風險，并開始注重其隱私保護。

2019年8月發布的隱私安全標準ISO/IEC 27701:2019，能幫助企業拓展ISO/IEC 27001體系對保護隱私的局限性，更全面、準確、充分地應對隱私保護及合規要求。


我們先來看看ISO/IEC 27701:2019 標準的結構及其與 ISO/IEC 27001 和 ISO/IEC 27002之間的關系。

ISO/IEC 27701:2019的正式名稱為安全技術--ISO/IEC 27001 和 ISO/IEC 27002 對隱私信息管理的擴展--要求和指南。其以ISO/IEC 27001 和 ISO/IEC 27002 對隱私信息管理的擴展方式，為在組織范圍內建立、實施、維護和持續改進隱私信息管理體系（PIMS）指定要求，并提供指南。

與ISO/IEC 27001 配合使用，是認證要求和實施指南的組合體。 它是對ISO/IEC 27001 的擴展，因其增加了附加的PIMS 相關要求，如條款5、附錄 A 和附錄 B。認證要求在標準中共有67項，表述為'應'。同時，為組織實施 PIMS，還增加了從ISO/IEC 27002 到 PIMS的附加指南，例如條款6、7和8。

一表了解ISO/IEC 27701:2019 標準的詳細結構：

主要條款詳情：

條款5與ISO/IEC 27001相關的PIMS特定要求

涵蓋了對ISO/IEC 27001:2013條款4-10附加的要求，均為認證要求。例如，如本標準中條款5.7.2 的表述：
ISO/IEC 27001:2013，9.2中所述要求以及5.1中所述的解釋均適用。該標準不增加任何新的內部審核要求，只要組織理解這是ISO/IEC 27001:2013對處理個人可識別信息（PII）所可能增加風險的"信息安全"要求。

ISO/IEC 27701:2019對ISO/IEC 27001的以下條款增加了附加的要求：

條款6 與ISO/IEC 27002相關的PIMS特定指南

涵蓋了與ISO/IEC 27002有關的其他PIMS相關指南。例如，標準條款6.9.4.4（與 ISO/IEC 27001:2013 的12.4.4 時鐘同步相對應）不包含任何附加要求，因為時鐘同步與隱私風險沒有相關性。另一方面，標準條款6.9.3.1 （與 ISO/IC 27001:2013 的12.3.1 信息備份相對應）則增加較多的隱私管理指南，因為信息備份可能存在隱私風險，例如數據保留期、跨境數據傳輸等。下表總結了 ISO/IEC 27002 各個領域中的控制點的數量。在 ISO/IEC 27002 中，共對32項新的控制點進行了修訂。與ISO/IEC 27002一樣，條款6中的指南為非認證條款。

條款7 對PII控制者附加的ISO/IEC 27002指南

為 PII 控制者提供指南。對于 PII 控制者所需的所有控制點都列在標準的附錄A 中。這些控制點是規范性的，這意味著如果組織作為控制者，則應實施這些控制（參見如下認證中的 PII 控制者與PII 處理者）。條款7中所提供的指南有助于組織實施這些控制。然而，這些指南為非認證性的。

條款8 對PII處理者附加的ISO/IEC 27002指南

為 PII 處理者提供指南。本標準附錄 B 列出了 PII 處理者的控制點。與附錄 A 相似，如果組織作為處理者，這些控制點是規范性的。條款8的指南是非認證性的。

企業獲得 ISO/IEC 27701 認證的益處

獲取客戶關于組織對隱私信息管理方面的信任，以獲得潛在業務；
證實組織對其產品和服務目標市場所在地隱私法規的遵從，獲得所在地的市場準入；
向相關方證實其在隱私管理方面的能力和符合性；
組織自身為證實其在隱私管理方面的能力和符合性。

以上是隱私信息管理體系的部分科普內容，如需第一時間掌握更多標準科普信息，請持續關注我們，您還可以掃描下方二維碼，填寫信息后即可下載ISO/IEC 27701:2019相關的詳細資料！

SGS作為國際公認的檢驗、鑒定、測試和認證機構，在全球IT領域率先成立了網絡實驗室及GDPR 方案解決中心，并且是頒發全球第一張ISO 22301認證證書的第三方機構。

SGS秉持務實、創新的精神，已為眾多知名品牌企業提供IT相關的認證及培訓服務，如：DHL 、飛利浦、青蓮云等，我們提供的服務解決方案，助力您的企業合規發展：

1. ISO/IEC 27701認證
2. 已通過ISO/IEC 27001認證有計劃與ISO/IEC 27701同時認證
3. 為期兩天的ISO/IEC 27701培訓
4. 為期四天的ISO/IEC 27001+ISO/IEC 27701培訓
5. GDPR培訓
6. 針對特定或當地隱私法規的其他培訓、解決方案