購物車(
0
)
隱私信息管理體系ISO/IEC 27701標準解析
隨著社交媒體APP和物聯網設備在生活中的廣泛應用,以及全球隱私法律法規的激增,諸如:《歐盟通用數據保護條例》(GDPR)、《加州消費者隱私法》(CCPA)和《中國網絡安全法》(China network security Law),隱私保護問題已然成為了當前社會的焦點,這意味著組織現在面臨著來自客戶、最終用戶、投資者和監管機構的多重壓力,企業如何管理個人可識別信息(PII)或個人數據,如何確保隱私合規,都成為擺在企業面前亟待解決的新問題和新挑戰。
隱私的概念經常被誤解或被錯誤地對待。許多企業認為,不將數據傳遞給第三方并確保其數據庫受密碼保護就足夠了。諸如“同意”、“托收目的”或“跨境轉移”等概念要么被忽視,要么不被理解。針對GDPR和CCPA的嚴厲罰款讓許多組織已經意識到了這些風險,并開始注重其隱私保護。
2019年8月發布的隱私安全標準ISO/IEC 27701:2019,能幫助企業拓展ISO/IEC 27001體系對保護隱私的局限性,更全面、準確、充分地應對隱私保護及合規要求。
我們先來看看ISO/IEC 27701:2019 標準的結構及其與 ISO/IEC 27001 和 ISO/IEC 27002之間的關系。
ISO/IEC 27701:2019的正式名稱為安全技術--ISO/IEC 27001 和 ISO/IEC 27002 對隱私信息管理的擴展--要求和指南。其以ISO/IEC 27001 和 ISO/IEC 27002 對隱私信息管理的擴展方式,為在組織范圍內建立、實施、維護和持續改進隱私信息管理體系(PIMS)指定要求,并提供指南。
與ISO/IEC 27001 配合使用,是認證要求和實施指南的組合體。 它是對ISO/IEC 27001 的擴展,因其增加了附加的PIMS 相關要求,如條款5、附錄 A 和附錄 B。認證要求在標準中共有67項,表述為'應'。同時,為組織實施 PIMS,還增加了從ISO/IEC 27002 到 PIMS的附加指南,例如條款6、7和8。
一表了解ISO/IEC 27701:2019 標準的詳細結構:
|
條款 |
條款標題 |
備注 |
|
1 |
范圍 |
標準的適用性 |
|
2 |
規范性引用文件 |
標準參考 |
|
3 |
術語、定義和縮寫 |
|
|
4 |
總則 |
標準結構的描述 |
|
5 |
與 ISO/IEC 27001 相關的PIMS特定要求 |
在ISO/IEC 27001中要求的 |
|
6 |
與 ISO/IEC 27002 相關的PIMS特定指南 |
在ISO/IEC 27002中PIMS |
|
7 |
對PII控制者附加的ISO/IEC 27002指南 |
對PII控制者的 |
|
8 |
對PII處理者附加的ISO/IEC 27002指南 |
對PII處理者附加的 |
|
附錄 A |
(規范性附錄) |
強制性控制,適用于數據控制者 |
|
附錄 B |
(規范性附錄) |
強制性控制,適用于數據處理者 |
|
附錄 C |
與ISO/IEC 29100的對照關系 |
非認證的、信息性的附錄 |
|
附錄 D |
與通用數據保護條例(GDPR)的對照關系 |
|
|
附錄 E |
附錄 E(信息性) |
|
|
附錄 F |
如何將ISO/IEC 27701 |
主要條款詳情:
條款5與ISO/IEC 27001相關的PIMS特定要求
涵蓋了對ISO/IEC 27001:2013條款4-10附加的要求,均為認證要求。例如,如本標準中條款5.7.2 的表述:
ISO/IEC 27001:2013,9.2中所述要求以及5.1中所述的解釋均適用。該標準不增加任何新的內部審核要求,只要組織理解這是ISO/IEC 27001:2013對處理個人可識別信息(PII)所可能增加風險的"信息安全"要求。
ISO/IEC 27701:2019對ISO/IEC 27001的以下條款增加了附加的要求:
|
4.1 |
理解組織及其環境 |
|
4.2 |
理解相關方的需求和期望 |
|
4.3 |
確定信息安全管理體系的范圍 |
|
6.1.2 |
信息安全風險評估 |
|
6.1.3 |
信息安全風險處置 |
條款6 與ISO/IEC 27002相關的PIMS特定指南
涵蓋了與ISO/IEC 27002有關的其他PIMS相關指南。例如,標準條款6.9.4.4(與 ISO/IEC 27001:2013 的12.4.4 時鐘同步相對應)不包含任何附加要求,因為時鐘同步與隱私風險沒有相關性。另一方面,標準條款6.9.3.1 (與 ISO/IC 27001:2013 的12.3.1 信息備份相對應)則增加較多的隱私管理指南,因為信息備份可能存在隱私風險,例如數據保留期、跨境數據傳輸等。下表總結了 ISO/IEC 27002 各個領域中的控制點的數量。在 ISO/IEC 27002 中,共對32項新的控制點進行了修訂。與ISO/IEC 27002一樣,條款6中的指南為非認證條款。
|
ISO/IEC 27002條款 |
修訂的控制點數量 |
ISO/IEC 27002條款 |
修訂的控制點數量 |
|
5 |
1 |
12 |
3 |
|
6 |
2 |
13 |
2 |
|
7 |
1 |
14 |
5 |
|
8 |
5 |
15 |
1 |
|
9 |
3 |
16 |
2 |
|
10 |
1 |
17 |
0 |
|
11 |
2 |
18 |
4 |
條款7 對PII控制者附加的ISO/IEC 27002指南
為 PII 控制者提供指南。對于 PII 控制者所需的所有控制點都列在標準的附錄A 中。這些控制點是規范性的,這意味著如果組織作為控制者,則應實施這些控制(參見如下認證中的 PII 控制者與PII 處理者)。條款7中所提供的指南有助于組織實施這些控制。然而,這些指南為非認證性的。
|
條例 |
控制方面 |
控制點數量 |
|
A. 7.2 |
數據收集和處理的條件 |
8項控制 |
|
A. 7.3 |
(應履行)對PII所有者的義務 |
10項控制 |
|
A. 7.4 |
從設計開始保護隱私和默認保護隱私 |
9項控制 |
|
A. 7.5 |
PII 信息的共享、轉讓和披露 |
4項控制 |
條款8 對PII處理者附加的ISO/IEC 27002指南
為 PII 處理者提供指南。本標準附錄 B 列出了 PII 處理者的控制點。與附錄 A 相似,如果組織作為處理者,這些控制點是規范性的。條款8的指南是非認證性的。
|
條例 |
控制方面 |
控制點數量 |
|
B. 8.2 |
數據收集和處理的條件 |
6項控制 |
|
B. 8.3 |
應履行對PII所有者的義務 |
1項控制 |
|
B. 8.4 |
從設計開始保護隱私和默認保護隱私設置 |
3項控制 |
|
B. 8.5 |
PII 信息的共享、轉讓和披露 |
8項控制 |
企業獲得 ISO/IEC 27701 認證的益處
獲取客戶關于組織對隱私信息管理方面的信任,以獲得潛在業務;
證實組織對其產品和服務目標市場所在地隱私法規的遵從,獲得所在地的市場準入;
向相關方證實其在隱私管理方面的能力和符合性;
組織自身為證實其在隱私管理方面的能力和符合性。
以上是隱私信息管理體系的部分科普內容,如需第一時間掌握更多標準科普信息,請持續關注我們,您還可以掃描下方二維碼,填寫信息后即可下載ISO/IEC 27701:2019相關的詳細資料!
SGS作為國際公認的檢驗、鑒定、測試和認證機構,在全球IT領域率先成立了網絡實驗室及GDPR 方案解決中心,并且是頒發全球第一張ISO 22301認證證書的第三方機構。
SGS秉持務實、創新的精神,已為眾多知名品牌企業提供IT相關的認證及培訓服務,如:DHL 、飛利浦、青蓮云等,我們提供的服務解決方案,助力您的企業合規發展:
1. ISO/IEC 27701認證
2. 已通過ISO/IEC 27001認證有計劃與ISO/IEC 27701同時認證
3. 為期兩天的ISO/IEC 27701培訓
4. 為期四天的ISO/IEC 27001+ISO/IEC 27701培訓
5. GDPR培訓
6. 針對特定或當地隱私法規的其他培訓、解決方案
- 信息安全推動智能終端發展 元氣森林獲ISO/IEC 27001及ISO/IEC 27701雙體系認證證書
- 案例 | 光伏可持續發展再添新標桿!東方日升順利通過SSI ESG審核
- SGS基于ISO 37302:2025推出合規管理體系有效性評價
- 重磅發布!SGS推出ISO/DIS 9001研討會,鎖定標準核心變化!
- 案例 | SGS通標為中海油深圳海洋工程技術服務有限公司頒發合規管理體系認證證書
- A股ESG領航計劃第二期:A股可持續披露通用要求解讀
- 轉換到ISO/IEC 27001:2022的最后機會,錯過截止日期該如何應對?
- SGS深度參與跨國企業ESG本土化研討,共探DEI扎根中國的實踐之路!
- 案例 | SGS為青海弗迪電池頒發ESD證書,助力中國新能源汽車駛向世界!
- ISO 14001:2026 SGS獨家解讀報告:關鍵條款變更解析與企業應對!
