ISO/IEC 27701:2019《隐私信息安全管理扩展要求和指南》解读二

Jackhang

ISO/IEC 27701:2019（隐私信息安全管理扩展要求和指南）解读（二）
结合上回说到，我们讲到了有关于ISO27701的介绍，后面我们来看一下ISO27701（PIMS）总体概览

ISO/IEC 27701:2019（PIMS）总体概览
1. ISO/IEC 27701《信息安全管理体系要求》
信息安全管理体系的基础，是信息安全建设的基本思路，基于PDCA方法论，为组织提供信息安全管理体系建设的方向和指引。
2. ISO/IEC 27702《信息安全控制实践指南》
作为ISO27001的实践指南，ISO27002从14 个控制域，114个控制项，详细阐述了信息安全应该如何入手，构建起组织的信息安全框架。
ISO27702是一个有关最佳实践的指南，告知组织做好信息安全的“How to do”。

在此需要注意一点，ISO27701体系是在ISO27001的基础上面进行建设，并且要求和指南均在同一个标准内。

ISO/IEC 27701标准的总体架构
1、ISO27001、ISO27002在隐私保护的扩展，并且在通用类要求和指南基础上，增加了针对PINS的特定要求及指南。
2、ISO27001正文部分扩展了隐私情景分析、隐私影响评估；
3、对ISO27002的144个控制项扩展了32个控制项；
4、对Controller扩展了31项隐私保护要求；
5、对processor扩展了18项隐私保护要求；
6、认证ISO27701的前提须通过ISO27001的认证，也可同时进行认证。

ISO/IEC 27701与ISO27018及ISO29151的区别
1、ISO/IEC 27701:2019的特点在于“集大成”；
2、直接沿用或优化了大量ISO/IEC 27018、ISO29151条款；
3、加入来自GDPR的元素；
4、标准附录中包含标准与ISO 29100、ISO 27018、ISO 29151的隐射关系；
5、作为“指南性”标准，三者各有侧重点，相互补充，ISO/IEC 27701并没有尝试去完全覆盖任何一部已有的标准；
6、最大的区别在于ISO27701是可认证标准，其他只可作为指南进行体系实施。

前面讲解了整个ISO27701与其他体系之间的关联和联系，具体条款对应可自行下载相应的标准进行查看，后面有机会将会详细讲解标准。那我们接下看一下有关于ISO27701中的几个角色的关系

PII相关角色介绍
PII主体：也就是拥有个人信息的自然人；
PII控制者：决定处理PII处理目的和方法的隐私权益相关方；
PII处理者：按照PII控制者的指示对PII进行处理的隐私权利益相关方；
PII联合控制者：与一个或多个其他的PII控制者共同决定PII处理目的和处理方法的PII控制者。

质量探索路

谢谢分享

wenzhu712

316348430

njkiller

感谢分享

yuan

LEE142458

感谢分享

pdcicbt

谢谢分享

yifan99

谢谢分享