ISO27701个人隐私安全管理体系认证
ISO 27701 是国际标准化组织(ISO)和国际电工委员会(IEC)发布的隐私信息管理体系标准,全称《安全技术 — 扩展 ISO/IEC 27001 和 ISO/IEC 27002 的隐私信息管理 — 要求与指南》。它是对 ISO/IEC 27001 信息安全管理和 ISO/IEC 27002 安全控制的隐私扩展。以下是关于 ISO 27701 个人隐私安全管理体系的详细介绍:
产生背景:在数据滥用、数据窃取、隐私泄露以及 “大数据杀熟” 等数据安全问题呈现爆发趋势的背景下,全球各个国家纷纷颁布相关法律法规,对数据安全与隐私保护相关问题进行严格规范与引导。例如 2018 年欧盟 GDPR《通用数据保护条例》生效,2021 年欧盟在 GDPR 中采信由监管机构认可或国家认可机构认可的第三方认证机构颁发的认证证书。2017 年 6 月 1 日,《中华人民共和国网络安全法》颁布实施,2021 年 11 月 1 日,我国的《个人信息保护法》生效。ISO 27701 标准的推出,很大程度上可以满足各国相关隐私保护法律法规的要求。
核心术语:
PII(个人可识别信息):可用于识别此类信息相关的 PII 主体的任何信息,或直接或间接链接到 PII 主体的信息。
PII 控制者:确定处理个人可识别信息(PII)的目的和手段隐私利益相关者(或隐私利益相关者们),但不包括出于个人目的使用数据的自然人。
PII 处理者:代表并按照 PII 控制者的说明处理个人可识别信息(PII)的隐私利益相关者。
适用范围:适用于所有类型和规模的组织,包括公共和私营公司、政府实体以及非盈利组织等。
主要内容:
标准的第 1 章到第 4 章,给出了范围、引用文件、术语和定义以及总则。
管理要求分布在第 5 章至第 8 章,其中第 5 章为 ISO/IEC 27001 的要求关于 PII 相关的扩展,第 6 章为 ISO/IEC 27002 的要求关于 PII 相关的扩展,第 7 章为针对 PII 控制者角色的管理要求,第 8 章为针对 PII 处理者角色的管理要求。
附录 A - F 给出了特定的控制目标与控制措施以及与其他标准和法规的映射关系。
认证价值:
满足合规要求:通过明确对 PII 处理者生命周期的隐私保护要求,可明确隐私保护管理合规目标,减轻组织合规负担的同时降低合规风险。
完善数据安全能力和风险管理:提高组织管理数据安全和隐私风险的能力,通过流程分析,在流程的输入、输出、控制各个环节中,识别、分析、验证隐私保护需求,减少甚至消除隐私泄露的风险。
增强信任:业务伙伴通常会要求 PII 处理者提供相关证据,来证明其产品能符合适用的隐私管理体系要求。通过得到授权的第三方机构对 PII 处理者进行审计验证,可以极大地降低合规沟通成本,有助于向公众传达组织的可信度。
与其他标准的关系:ISO/IEC 27701 的框架基于 ISO/IEC 27001,同样遵循了 ISO 的管理体系标准高层结构(HLS),故与其它 ISO 标准有良好的兼容性,便于组织实施整合的管理体系。同时,作为 ISO 标准中尾数为 01 的要求类标准,其有助于构建持续改进的管理框架。