隐私信息管理国际标准ISO/IEC 27701:2019浅析

随着信息技术的不断发展人们对信息安全的关注日益提升全球多个国家和地区相继出台了一系列隐私保护的法律法规例如欧盟的GDPR中国的网络安全法以及香港的个人隐私条例等当前几乎所有的组织都有处理个人信息 (PII) 的情况

面对愈加严格的监管趋势和众多且复杂的法律法规, 企业如何有效的管理和保护用户个人信息及隐私?

个人隐私安全管理体系国际标准

ISO/IEC 27001作为国际上公认的信息安全管理体系标准在隐私保护方面提供了部分所需的信息安全控制措施但如何从PII控制者和PII处理者二者不同的角度来实现和满足不同国家和地区的隐私保护法律法规的要求并没有提供足够的操作指引

因此新标准ISO/IEC 27701隐私信息管理体系应势而生助力企业为GDPR合规展现保护用户隐私和个人信息合规管理提供了更多相关指南

新标准能帮助企业合规应对GDPR这个史上最严的法规?

新标准科普

201986国际标准化组织ISO和国际电工委员会IEC正式对外发布ISO/IEC 27701隐私信息管理体系标准

这标志着信息安全隐私与个人信息保护在国际间法律与法规的合规展现有了一致性的标准

ISO/IEC 27701作为ISO/IEC 27001ISO/IEC 27002在管理上的延伸标准其目标是通过新增的要求来增强现有信息安全管理体系(ISMS,以便建立实施维护和不断改进隐私信息管理体系(PIMS标准概述了适用于个人身份信息(PII)控制者和PII处理者的框架用于隐私控制管理以降低对个人隐私的各种风险

PS: 欧盟GDPR主责机构前身为Article 29 Working PartyEuropean Data Protection Board (EDPB)ISO/IEC 27701的发展过程中积极参与并提供欧盟个人信息保护的相关建议ISO/IEC 27701GDPR的条文对应包含SC27众会员国与EDPBJTC1/SC27在各方达成合意后公告了ISO/IEC 27701这也是为什么国际间认为ISO/IEC 27701目前为GDPR合规展现的优秀方案之一

新标准的发布对企业和个人既是挑战也是机遇

这个新标准有什么条款?

ISO/IEC 27701主要的内容分为8个章节

1. 第一至第三章

主要是适用范围参考标准和名词定义的说明ISO/IEC 27701适用于任何类型的组织包括政府事业单位金融教育机构企业及非营利组织

2. 第四章

标准整体说明包括PIMS的要求如何应对ISO/IEC 270014~10章管理体系以及PIMS增项的指引如何应对ISO/IEC 270025~18章的控制措施

3. 第五章和第六章

进一步引述在第四章提到的PIMS对应ISO/IEC 27001管理体系要求和ISO/IEC 27002控制措施实施指引

4. 第七章和第八章

分别从PII控制者和PII处理者的角度说明包括搜集和处理个人信息的情况和条件应遵循的个人信息保护原则设计以及预设的隐私规定以及个人信息的分享传输和揭露的增项要求

在标准的附录A~F中还补充了PII控制者和PII处理者可参考的控制目标和控制措施以及对应到 ISO/IEC 29100GDPRISO/IEC 27018ISO/IEC 29151 的条款编号并且加上如何应用此标准的说明对于想要整合多项标准和遵循GDPR的组织而言有着非常好的参考意义

企业引入隐私信息管理体系有哪些益处?

1. 可以使用一个体系来管理来自不同国家和地区的多项隐私法规和政策的合规性

2. 有助于组织向组织的最高管理层合作伙伴监管机构及其他相关方提供组织有关隐私法规工作的尽职管理证据

3. 隐私信息管理体系认证能向客户和合作伙伴传递信任

ISO/IEC 27701隐私信息管理体系标准作为隐私保护和个人信息管理的ISO国际标准不仅带来新增的特定隐私要求以便有效整合现行ISO/IEC 27001信息安全管理体系未来更是针对隐私保护之特定领域 (PIMS-Specific) ISO/IEC 27001延伸认证的方式实施信息安全管理将与隐私信息管理进行密切整合

对于信息安全领域又添新标准企业如何选择符合且利于组织发展的管理体系?

企业有效的信息安全管控及个人隐私处理是为客户及用户带来信任和提升品牌价值的方法和策略以下是有关个人信息隐私保护信息安全等管理体系对比表

信息安全标准适用范围
上总结得出ISO/IEC 27701ISO/IEC 27001一起使用,无需维护两个管理体系即可形成一个全面的隐私信息管理体系 (PIMS)因此ISO/IEC 27701隐私信息管理体系为信息技术行业其个人隐私信息管理提供了良好的保障

声明本网站对转载分享陈述观点保持中立目的仅在于传递更多信息版权归原作者所有如涉及作品版权问题请与我司联系我们将尽快删除内容!
华认标准技术服务(苏州)有限公司是国家认监委批准的第三方认证机构批准号CNCA-R-2018-424,主要开展ISO9001认证ISO14001认证ISO45001认证 IECQ-HSPM QC080000认证商品售后服务认证物流服务认证物业服务认证