2021年1月5日,ISO 27701 源自 ISO/IEC 27552,為建立、實現、維護和持續改進隱私信息管理系統 (PIMS) 提供具體要求和指南,令 PIMS 作為 ISO 27001 中定義的靈活信息安全管理系統 (ISMS) 的擴展,在信息安全的基礎上將處理 PII 所需的隱私保護納入考慮。與 ISO 27001 標準類似, ISO 27701 不期望組織機構在所有情況下采納每一條控制。相反,該標準要求組織機構理解自身 PII 處理的具體上下文,以適合其處理活動的方式調整特定控制集和與之相關的實現。
為更好地理解新標準,需要弄清兩個關鍵術語:控制者和處理者。這兩個術語在很多隱私法律和規定中都能見到,包括 GDPR。通常,“控制者” 是指示為什么要收集和處理 PII 的實體,“處理者” 是代表該控制者負責處理此數據的另一個法律實體(非員工)。
新發布的標準適用于 PII 控制者(及聯合控制者)和處理者(包括下級處理者),無論其運營的行業和司法轄區,也包括到 GDPR 和 SO/IEC 29100、ISO/IEC 27018 及 ISO/IEC 29151 安全框架的映射。預計 ISO 27701 要求還將映射到其他隱私法律,如《2018 加州消費者隱私法案》(CCPA)、《金融服務現代化法案》(GLBA) 和《健康保險流通與責任法案》(HIPAA) 等,通過提供通用的合規標準幫助組織機構更好地符合這些監管要求。
ISO 27701 合規首先要求 ISO 27001 合規。二者互為補充。遵從 ISO 27701 要求的組織機構會留下其 PII 處理方式的書面證據,可用于推動與商業合作伙伴就 PII 處理問題簽訂協議,明確該組織機構與其他利益相關者間的 PII 處理方式。盡管 GDPR 尚未確立官方認證方法,近期報告表明,ISO 27701 或可在近期改變這一現狀。
已經通過 ISO 27001 認證,希望實現 ISO 27701 要求的組織機構,可以考慮采取下列步驟:
1. 按照 ISO 27701 的要求對現有 ISMS 執行漏洞評估,生成如何解決這些漏洞的行動計劃。
2. 對組織機構收集的 PII 執行數據映射,了解所收集 PII 的范圍,弄清處理者共享和使用 PII 的方式。
3. 依據上下文相關的內部或外部因素,比如適用的隱私立法、規定、司法判決或合同要求等,確定組織機構作為控制者和/或處理者的角色。
4. 審核并更新隱私政策,確保含有所要求的信息。
5. 制定適用于該組織機構角色的策略和規程。
6. 開始規劃和實現設計隱私與默認隱私原則。
深圳新世紀顧問有限公司辦理ISO27701認證,,流程快。
下一篇:ISO50001能源管理體系認證
專業代辦ISO9001認證_ISO14001認證_ISO27001認證_知識產權管理體系認證證書_。
電話:13798577179業務QQ:506565856企業郵箱:506565856@qq.com地址:深圳光明區公明研創谷6棟
2022-2025 深圳搜證寶認證技術 版權所有 粵ICP備2022086716號-1
