ISO27701隐私信息管理体系认证
ISO/IEC27701隐私信息管理体系标准作为ISO/IEC27001与ISO/IEC27002在管理上的延伸标准,其目标是通过新增的要求来增强现有信息安全管理体系(ISMS),以便建立、实施、维护和不断改进隐私信息管理体系(PIMS),标准概述了适用于个人身份信息(PII)控制者和PII处理者的框架,用于隐私控制管理,以降低对个人隐私的各种风险。
业务挑战
随着信息技术的不断发展,人们对信息安全的关注日益提升,全球多个国家和地区相继出台了一系列隐私保护的法律法规,例如欧盟的GDPR,中国的网络安全法,以及香港的个人隐私条例等,当前几乎所有的组织都有处理个人信息 (PII) 的情况。
面对愈加严格的监管趋势和众多且复杂的法律法规, 企业如何有效的管理和保护用户个人信息及隐私?
个人隐私安全管理体系国际标准。
ISO/IEC27001作为国际上公认的信息安全管理体系标准,在隐私保护方面提供了部分所需的信息安全控制措施,但如何从PII控制者和PII处理者二者不同的角度来实现和满足不同国家和地区的隐私保护法律法规的要求,并没有提供足够的操作指引。
因此,新标准ISO/IEC27701隐私信息管理体系应势而生。助力企业为GDPR合规展现、保护用户隐私和个人信息合规管理提供了更多相关指南。
服务概述
2019年8月6日,国际标准化组织ISO和国际电工委员会IEC正式对外发布ISO/IEC27701隐私信息管理体系标准。这标志着信息安全、隐私与个人信息保护,在国际间法律与法规的合规展现有了一致性的标准。
ISO/IEC27701作为ISO/IEC27001与ISO/IEC27002在管理上的延伸标准,其目标是通过新增的要求来增强现有信息安全管理体(ISMS),以便建立、实施、维护和不断改进隐私信息管理体系(PIMS),标准概述了适用于个人身份信息(PII)控制者和PII处理者的框架,用于隐私控制管理,以降低对个人隐私的各种风险。
(PS: 欧盟GDPR主责机构,前身为Article 29 Working Party的European Data Protection Board (EDPB),于ISO/IEC27701的发展过程中积极参与,并提供欧盟个人信息保护的相关建议,如ISO/IEC27701与GDPR的条文对应。包含SC27众会员国与EDPB,JTC1/SC27在各方达成合意后,公告了ISO/IEC27701,这也是为什么国际间认为ISO/IEC27701目前为GDPR合规展现的优秀方案之一。)
ISO27701认证的主要目标是什么?
通过PIMS的扩展以及与隐私相关的控制来增强现有的信息安全管理体系(ISMS),简化复杂的重叠隐私法的管理,创建一个以证据为基础的隐私计划,并通过公认的认证形式表明该计划的合规性,并作为潜在的GDPR合规性的基础。
现在发布的ISO27701认证标准还实现了其他一些目的。一方面,它充当PIMS与ISMS或ISO27001之间关系和连接的概述。它还详述了所需的功能,并列出了PIMS数据处理器和控制器的隐私控制。在更大范围内,ISO27701认证将信息隐私要求映射到相关的ISO标准和GDPR。
1. 可以使用一个体系来管理来自不同国家和地区的多项隐私法规和政策的合规性;
2.有助于组织向组织的最高管理层、合作伙伴、监管机构及其他相关方提供组织有关隐私法规工作的尽职管理证据;
3.隐私信息管理体系认证能向客户和合作伙伴传递信任。
ISO/IEC27701隐私信息管理体系标准作为隐私保护和个人信息管理的ISO国际标准。不仅带来新增的特定隐私要求,以便有效整合现行ISO/IEC27001信息安全管理体系,未来更是针对隐私保护之特定领域 (PIMS-Specific),以 ISO/IEC27001延伸认证的方式实施,信息安全管理将与隐私信息管理进行密切整合。
如何实施ISO27001认证?
要求供应商代表他们处理和维护PII的客户应考虑合同规定这些供应商不仅要遵守ISO27001,而且要符合ISO27701,或者在适用于数据敏感性的情况下获得ISO27701标准的认证。即使客户不要求供应商通过独立的第三方认证也符合新标准ISO27701认证,他们仍可能希望更新合同以确保供应商可以符合ISO27701认证的要求。由于ISO27701认证仍然非常对于新合同,卖方应遵守本新标准的规定合理的时间延迟,以便将其包括在这些合同中。
已通过ISO27001认证并希望实施ISO27701要求的组织应考虑采取以下步骤:
1.对现有ISMS进行符合ISO27701认证要求的差距评估,并就如何解决这些差距制定行动计划。
2.对组织收集的PII进行数据映射,以了解收集的PII的范围以及如何使用和与处理器共享。
3.根据与组织环境相关的内部或外部因素(例如适用的隐私法规,法规,司法决定或合同要求)确定组织作为控制者和/或处理者的角色。
4.查看并更新隐私策略,以确保它们包含必需的信息。
5.制定适用于组织角色的政策和程序。
6.通过设计和默认原则开始规划和实施隐私。
在世界各地,立法者和监管者都在引入新的法律来规范数据的使用,尤其是PII。最近,GDPR的出现使许多企业(包括客户和供应商)争相达成合规性。不断变化的法律环境给所有企业带来了挑战,尤其是必须遵守多个司法管辖区法规的企业。新的ISO27701认证标准不会尝试单独和本地处理每项新法律,而是提供一种统一的方式来决定,计划,实施和记录组织在全球范围内的数据隐私方法。
无论组织的规模大小,是PII的控制者还是处理者,企业都应考虑为自己的组织或向供应商要求获得ISO27701认证。对于处理敏感或大量PII的处理器,子处理器和联合控制器尤其如此。