品质协会(www.PinZhi.org)

 找回密码
 加入协会

QQ登录

只需一步,快速开始

查看: 2508|回复: 17

ISO/IEC 27701:2019《隐私信息安全管理扩展要求和指南》解读二

[复制链接]

6

主题

37

回帖

2

精华

品质协会主任会员

Rank: 8Rank: 8

积分
27608
品质币
27525
职位
1
发表于 2023-3-23 02:41:56 | 显示全部楼层 |阅读模式
本帖最后由 Jackhang 于 2023-3-23 15:50 编辑

ISO/IEC 27701:2019(隐私信息安全管理扩展要求和指南)解读(二)
结合上回说到,我们讲到了有关于ISO27701的介绍,后面我们来看一下ISO27701(PIMS)总体概览

ISO/IEC 27701:2019(PIMS)总体概览
1. ISO/IEC 27701《信息安全管理体系要求》
信息安全管理体系的基础,是信息安全建设的基本思路,基于PDCA方法论,为组织提供信息安全管理体系建设的方向和指引。
2. ISO/IEC 27702《信息安全控制实践指南》
作为ISO27001的实践指南,ISO27002从14 个控制域,114个控制项,详细阐述了信息安全应该如何入手,构建起组织的信息安全框架。
ISO27702是一个有关最佳实践的指南,告知组织做好信息安全的“How to do”。

在此需要注意一点,ISO27701体系是在ISO27001的基础上面进行建设,并且要求和指南均在同一个标准内。

ISO/IEC 27701标准的总体架构
1、ISO27001、ISO27002在隐私保护的扩展,并且在通用类要求和指南基础上,增加了针对PINS的特定要求及指南。
2、ISO27001正文部分扩展了隐私情景分析、隐私影响评估;
3、对ISO27002的144个控制项扩展了32个控制项;
4、对Controller扩展了31项隐私保护要求;
5、对processor扩展了18项隐私保护要求;
6、认证ISO27701的前提须通过ISO27001的认证,也可同时进行认证。

ISO/IEC 27701与ISO27018及ISO29151的区别
1、ISO/IEC 27701:2019的特点在于“集大成”;
2、直接沿用或优化了大量ISO/IEC 27018、ISO29151条款;
3、加入来自GDPR的元素;
4、标准附录中包含标准与ISO 29100、ISO 27018、ISO 29151的隐射关系;
5、作为“指南性”标准,三者各有侧重点,相互补充,ISO/IEC 27701并没有尝试去完全覆盖任何一部已有的标准;
6、最大的区别在于ISO27701是可认证标准,其他只可作为指南进行体系实施。

前面讲解了整个ISO27701与其他体系之间的关联和联系,具体条款对应可自行下载相应的标准进行查看,后面有机会将会详细讲解标准。那我们接下看一下有关于ISO27701中的几个角色的关系

PII相关角色介绍
PII主体:也就是拥有个人信息的自然人;
PII控制者:决定处理PII处理目的和方法的隐私权益相关方;
PII处理者:按照PII控制者的指示对PII进行处理的隐私权利益相关方;
PII联合控制者:与一个或多个其他的PII控制者共同决定PII处理目的和处理方法的PII控制者。



1. 问答、交流探讨的帖子,回帖时,请不要发纯表情等无价值回帖,无意义,太多了影响用户体验,经常这样账号会被扣分甚至禁号的;
2. 品质协会是个学习、交流分享的平台,所有资料和内容归作者和版权方所有,需要正版标准、资料的请去相关的官方网站等平台购买。
您需要登录后才可以回帖 登录 | 加入协会

本版积分规则

《品质协会规则》|品质币|手机版|品质B2B|联系我们|注册加入协会|品质协会(www.PinZhi.org) |网站地图

GMT+8, 2024-11-18 12:21 , Processed in 0.053021 second(s), 6 queries , Gzip On, Redis On.

Powered by 品质协会 © 2010-2024

品质人,让生活和环境变得更美好!!!

快速回复 返回顶部 返回列表