ISO/IEC 27701:2019《隐私信息安全管理扩展要求和指南》解读二
本帖最后由 Jackhang 于 2023-3-23 15:50 编辑ISO/IEC 27701:2019(隐私信息安全管理扩展要求和指南)解读(二)
结合上回说到,我们讲到了有关于ISO27701的介绍,后面我们来看一下ISO27701(PIMS)总体概览
ISO/IEC 27701:2019(PIMS)总体概览
1. ISO/IEC 27701《信息安全管理体系要求》
信息安全管理体系的基础,是信息安全建设的基本思路,基于PDCA方法论,为组织提供信息安全管理体系建设的方向和指引。
2. ISO/IEC 27702《信息安全控制实践指南》
作为ISO27001的实践指南,ISO27002从14 个控制域,114个控制项,详细阐述了信息安全应该如何入手,构建起组织的信息安全框架。
ISO27702是一个有关最佳实践的指南,告知组织做好信息安全的“How to do”。
在此需要注意一点,ISO27701体系是在ISO27001的基础上面进行建设,并且要求和指南均在同一个标准内。
ISO/IEC 27701标准的总体架构
1、ISO27001、ISO27002在隐私保护的扩展,并且在通用类要求和指南基础上,增加了针对PINS的特定要求及指南。
2、ISO27001正文部分扩展了隐私情景分析、隐私影响评估;
3、对ISO27002的144个控制项扩展了32个控制项;
4、对Controller扩展了31项隐私保护要求;
5、对processor扩展了18项隐私保护要求;
6、认证ISO27701的前提须通过ISO27001的认证,也可同时进行认证。
ISO/IEC 27701与ISO27018及ISO29151的区别
1、ISO/IEC 27701:2019的特点在于“集大成”;
2、直接沿用或优化了大量ISO/IEC 27018、ISO29151条款;
3、加入来自GDPR的元素;
4、标准附录中包含标准与ISO 29100、ISO 27018、ISO 29151的隐射关系;
5、作为“指南性”标准,三者各有侧重点,相互补充,ISO/IEC 27701并没有尝试去完全覆盖任何一部已有的标准;
6、最大的区别在于ISO27701是可认证标准,其他只可作为指南进行体系实施。
前面讲解了整个ISO27701与其他体系之间的关联和联系,具体条款对应可自行下载相应的标准进行查看,后面有机会将会详细讲解标准。那我们接下看一下有关于ISO27701中的几个角色的关系
PII相关角色介绍
PII主体:也就是拥有个人信息的自然人;
PII控制者:决定处理PII处理目的和方法的隐私权益相关方;
PII处理者:按照PII控制者的指示对PII进行处理的隐私权利益相关方;
PII联合控制者:与一个或多个其他的PII控制者共同决定PII处理目的和处理方法的PII控制者。
谢谢分享 {:1_180:} {:1_180:} 感谢分享 {:1_180:} 感谢分享 谢谢分享 谢谢分享
页:
[1]
2