品质协会(www.PinZhi.org)

 找回密码
 加入协会

QQ登录

只需一步,快速开始

查看: 7735|回复: 18

ISO/IEC 27701:2019《隐私信息管理体系标准》

[复制链接]

118

主题

67

回帖

4

精华

品质协会专家

Rank: 8Rank: 8

积分
7740
品质币
7475
职位
1
发表于 2019-8-22 17:32:23 | 显示全部楼层 |阅读模式
2019年8月6日,国际标准化组织ISO和国际电工委员会IEC正式对外发布ISO/IEC 27701隐私信息管理体系标准ISO/IEC 27701:2019《Security techniques -- Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management -- Requirements and guidelines》。

这标志着信息安全、隐私与个人信息保护,在国际间法律与法规的合规展现有了一致性的标准。随着信息技术的不断发展,人们对信息安全的关注日益提升,全球多个国家和地区相继出台了一系列隐私保护的法律法规,例如欧盟的GDPR,中国的网络安全法,以及香港的个人隐私条例等,当前几乎所有的组织都有处理个人信息 (PII) 的情况。

ISO/IEC 27701作为ISO/IEC 27001与ISO/IEC 27002在管理上的延伸标准,其目标是通过新增的要求来增强现有信息安全管理体系(ISMS),以便建立、实施、维护和不断改进隐私信息管理体系(PIMS),标准概述了适用于个人身份信息(PII)控制者和PII处理者的框架,用于隐私控制管理,以降低对个人隐私的各种风险

PS: 欧盟GDPR主责机构,前身为Article 29 Working Party的European Data Protection Board (EDPB),于ISO/IEC 27701的发展过程中积极参与,并提供欧盟个人信息保护的相关建议,如ISO/IEC 27701与GDPR的条文对应。包含SC27众会员国与EDPB,JTC1/SC27在各方达成合意后,公告了ISO/IEC 27701,这也是为什么国际间认为ISO/IEC 27701目前为GDPR合规展现的优秀方案之一。

ISO/IEC 27701主要的内容分为8个章节:

1. 第一至第三章:

主要是适用范围、参考标准和名词定义的说明,ISO/IEC 27701适用于任何类型的组织,包括政府、事业单位、金融、教育机构、企业及非营利组织。

2. 第四章:

标准整体说明,包括PIMS的要求如何应对ISO/IEC 27001的4~10章管理体系,以及PIMS增项的指引如何应对ISO/IEC 27002的5~18章的控制措施。

3. 第五章和第六章:

进一步引述在第四章提到的PIMS对应ISO/IEC 27001管理体系要求和ISO/IEC 27002控制措施实施指引。

4. 第七章和第八章:

分别从PII控制者和PII处理者的角度,说明包括搜集和处理个人信息的情况和条件、应遵循的个人信息保护原则、设计以及预设的隐私规定,以及个人信息的分享、传输和揭露的增项要求。

在标准的附录A~F中还补充了PII控制者和PII处理者可参考的控制目标和控制措施,以及对应到 ISO/IEC 29100、GDPR、ISO/IEC 27018、ISO/IEC 29151 的条款编号,并且加上如何应用此标准的说明,对于想要整合多项标准和遵循GDPR的组织而言有着非常好的参考意义。

企业引入隐私信息管理体系有哪些益处?

  • 可以使用一个体系来管理来自不同国家和地区的多项隐私法规和政策的合规性;
  • 有助于组织向组织的最高管理层、合作伙伴、监管机构及其他相关方提供组织有关隐私法规工作的尽职管理证据;
  • 隐私信息管理体系认证能向客户和合作伙伴传递信任。
ISO/IEC 27701隐私信息管理体系标准作为隐私保护和个人信息管理的ISO国际标准。不仅带来新增的特定隐私要求,以便有效整合现行ISO/IEC 27001信息安全管理体系,未来更是针对隐私保护之特定领域 (PIMS-Specific),以 ISO/IEC 27001延伸认证的方式实施,信息安全管理将与隐私信息管理进行密切整合。

对于信息安全领域又添新标准,企业如何选择符合且利于组织发展的管理体系?


企业有效的信息安全管控及个人隐私处理,是为客户及用户带来信任和提升品牌价值的方法和策略;如果大家在众多信息安全体系中难于抉择,小编已整理了有关个人信息、隐私保护、信息安全等管理体系对比表,方便大家对比选择。

一表get√信息安全标准适用范围
标准描述
备注
ISO/IEC 27001:2013信息安全管理体系作为基础管理体系的框架,适用于所有类型和规模的组织。
ISO/IEC 27701:2019ISO/IEC 27001和ISO/IEC 27002的延伸,用于隐私信息管理个人身份信息相关组织和利益相关方要求;个人身份信息相关风险评估;适用于适用于所有类型和规模的组织,包括公共和私营公司、政府机构和非盈利组织,他们是在ISMS中处理PII(个人可识别信息)的控制者或处理者。
ISO/IEC 29151:2017个人信息保护的行为准则36项ISO/IEC 27002附加控制要求;个人身份信息新增13个控制;适用于所有类型和规模的作为PII控制者的组织,包括处理PII的公共和私营公司、政府机构和非盈利组织。
ISO/IEC 27017:2015基于ISO/IEC 27002的云服务信息安全控制实务守则37个与云安全相关的ISO/IEC 27002附加控制要求;7个额外的云安全要求;适用于云服务提供商和云服务客户。
ISO/IEC 27018:2019公用云作为保护隐私数据处理者的实务守则与云相关的15项ISO/IEC 27002附加控制要求;11个额外的基于云的个人信息要求;适用于所有类型和规模的组织,这些组织作为PII处理者通过与其他组织签定的云计算提供信息处理服务;也适用于PII控制者的组织。

以上总结得出,ISO/IEC 27701与ISO/IEC 27001一起使用,无需维护两个管理体系即可形成一个全面的隐私信息管理体系 (PIMS)。因此,ISO/IEC 27701隐私信息管理体系为信息技术行业其个人隐私信息管理提供了良好的保障。

ISO/IEC 27701-2019《隐私信息管理体系》【中文译本】
http://www.pinzhi.org/forum.php?mod=viewthread&tid=70961

ISOIEC27701:2019(隐私信息安全管理扩展要求和指南)
http://www.pinzhi.org/forum.php?mod=viewthread&tid=83757
1. 问答、交流探讨的帖子,回帖时,请不要发纯表情等无价值回帖,无意义,太多了影响用户体验,经常这样账号会被扣分甚至禁号的;
2. 品质协会是个学习、交流分享的平台,所有资料和内容归作者和版权方所有,需要正版标准、资料的请去相关的官方网站等平台购买。
您需要登录后才可以回帖 登录 | 加入协会

本版积分规则

《品质协会规则》|品质币|手机版|品质B2B|联系我们|注册加入协会|品质协会(www.PinZhi.org) |网站地图

GMT+8, 2024-11-24 12:19 , Processed in 0.046898 second(s), 5 queries , Gzip On, Redis On.

Powered by 品质协会 © 2010-2024

品质人,让生活和环境变得更美好!!!

快速回复 返回顶部 返回列表