ISO9001认证

ISO27701认证隐私管理体系

文章来源:http://www.isoboss.com 发布时间:2021-01-05 浏览次数:90

2021年1月5日,ISO 27701 源自 ISO/IEC 27552,为建立、实现、维护和持续改进隐私信息管理系统 (PIMS) 提供具体要求和指南,令 PIMS 作为 ISO 27001 中定义的灵活信息安全管理系统 (ISMS) 的扩展,在信息安全的基础上将处理 PII 所需的隐私保护纳入考虑。与 ISO 27001 标准类似, ISO 27701 不期望组织机构在所有情况下采纳每一条控制。相反,该标准要求组织机构理解自身 PII 处理的具体上下文,以适合其处理活动的方式调整特定控制集和与之相关的实现。

微信图片_20200928102534

为更好地理解新标准,需要弄清两个关键术语:控制者和处理者。这两个术语在很多隐私法律和规定中都能见到,包括 GDPR。通常,“控制者” 是指示为什么要收集和处理 PII 的实体,“处理者” 是代表该控制者负责处理此数据的另一个法律实体(非员工)。

新发布的标准适用于 PII 控制者(及联合控制者)和处理者(包括下级处理者),无论其运营的行业和司法辖区,也包括到 GDPR 和 SO/IEC 29100、ISO/IEC 27018 及 ISO/IEC 29151 安全框架的映射。预计 ISO 27701 要求还将映射到其他隐私法律,如《2018 加州消费者隐私法案》(CCPA)、《金融服务现代化法案》(GLBA) 和《健康保险流通与责任法案》(HIPAA) 等,通过提供通用的合规标准帮助组织机构更好地符合这些监管要求。

微信图片_20200928102540

ISO 27701 合规首先要求 ISO 27001 合规。二者互为补充。遵从 ISO 27701 要求的组织机构会留下其 PII 处理方式的书面证据,可用于推动与商业合作伙伴就 PII 处理问题签订协议,明确该组织机构与其他利益相关者间的 PII 处理方式。尽管 GDPR 尚未确立官方认证方法,近期报告表明,ISO 27701 或可在近期改变这一现状。

已经通过 ISO 27001 认证,希望实现 ISO 27701 要求的组织机构,可以考虑采取下列步骤:

1. 按照 ISO 27701 的要求对现有 ISMS 执行漏洞评估,生成如何解决这些漏洞的行动计划。

2. 对组织机构收集的 PII 执行数据映射,了解所收集 PII 的范围,弄清处理者共享和使用 PII 的方式。

3. 依据上下文相关的内部或外部因素,比如适用的隐私立法、规定、司法判决或合同要求等,确定组织机构作为控制者和/或处理者的角色。

4. 审核并更新隐私政策,确保含有所要求的信息。

5. 制定适用于该组织机构角色的策略和规程。

6. 开始规划和实现设计隐私与默认隐私原则。

深圳新世纪顾问有限公司办理ISO27701认证,,流程快。



cache
Processed in 0.005265 Second.