ISO27701隐私信息安全管理体系详细介绍
ISO27701认证 隐私信息安全管理体系
2019年8月6日,国际标准化组织(ISO)和国际电工委员会(IEC)发布了ISO/IEC 27701(ISO27701)这是ISO/IEC 27001和ISO/IEC 27002的隐私扩展,旨在帮助组织保护和控制他们处理的个人信息。类似于现有的ISO标准ISO27701补充,此新的ISO标准可能成为组织保护个人身份信息(PII)的事实上的护理标准,并且可以用来证明其遵守全球隐私法规,包括通用数据保护法规(EU)2016/679(GDPR)。
这一新标准是实现安全合规的“锦上添花”。众所周知的ISO27001构成了基础,而新的ISO27701认证则在此基础上进行了构建,以提供一套全面的信息安全和个人信息保护控制措施。
什么是ISO27701?
ISO27701认证最初开发为ISO/IEC 27552,它为建立,实施,维护和持续改进隐私信息安全管理体系(PIMS)提供了特定要求和指导,作为对ISO27001中定义的灵活信息安全管理体系(ISMS)的扩展。除了信息安全之外,还应考虑到处理PII所需的隐私保护。像ISO27001认证标准一样,ISO27701认证并不希望组织在所有情况下都采用每种控件。相反,它要求组织了解处理PII的特定上下文,并以适合其处理活动的方式调整特定的控件集以及这些控件的相关实现。
为了更好地理解新标准ISO27701认证,应该理解两个关键术语:控制器和处理器。这些术语可在包括GDPR在内的许多隐私法律和法规中找到。通常,“控制者”是指示首先收集和处理PII的原因的实体,“处理者”是负责代表该个人处理此类数据的独立法律实体(即,不是雇员)。
简而言之,ISO27701认证是ISO27001认证的增强扩展。该标准可以提供通用数据保护法规(GDPR)要求
的数据隐私和信息安全标准。为了有效地管理隐私,它包含用于个人身份信息(PII)处理器和控制器的结构。
实施ISO27701将创建一个隐私信息安全管理体系,称PIMS。
使用ISO27701认证作为数据安全性标准,可以向客户和利益相关者展示您的公司支持GDPR合规性和隐私法规。此外,它还可以确保您拥有他们可以信任的有效系统。通过使用控件降低个人和公司的潜在信息安全和隐私风险,您可以创建一个更值得信赖的品牌。
新发布的ISO27701认证标准既适用于PII的控制器(以及联合控制器),也适用于PII的处理器(包括子处理器),而不管其运营所在的管辖区和部门如何,并且还包括对GDPR和ISO/IEC的映射29100,ISO/IEC 27018和ISO/IEC 29151安全框架。应预料到将ISO27701要求映射到其他隐私法律,例如2018年《加利福尼亚消费者隐私法案》(CCPA),GLBA和HIPAA,并将通过提供证明遵守这些监管制度的通用标准来帮助组织。
ISO27701认证的目的是什么?
由于ISO27701是一种PIMS,因此其目的主要与数据隐私和安全性有关。它专门包含隐私控制和实践的框架和要求。ISO27701是ISO27001的扩展,因此对于希望实施PIMS的公司而言,后者是必需的。
ISO27701认证的主要目标是:
通过PIMS的扩展以及与隐私相关的控制来增强现有的信息安全管理体系(ISMS),简化复杂的重叠隐私法的管理,创建一个以证据为基础的隐私计划,并通过公认的认证形式表明该计划的合规性,并作为潜在的GDPR合规性的基础。
现在发布的ISO27701认证标准还实现了其他一些目的。一方面,它充当PIMS与ISMS或ISO27001之间关系和连接的概述。它还详述了所需的功能,并列出了PIMS数据处理器和控制器的隐私控制。在更大范围内,ISO27701认证将信息隐私要求映射到相关的ISO标准和GDPR。
下面提供了适用于控制器和处理器的某些关键ISO27701认证关键要求的高级概述。
ISO27701认证对适用于控制器和处理器的要求
1)机密性–被授权访问PII的个人必须签署保密协议。
2)分析风险–必须进行隐私风险评估以识别PII处理风险。
3)监督–组织必须任命一个负责制定,实施,维护和监视其治理和隐私计划的人员。
4)培训–需要对有权使用PII的人员进行隐私意识培训。
5)内部流程–组织必须采用各种政策和程序,例如针对违反PII的事件响应计划。
6)保持记录–ISO27701要求组织保留所有PII处理活动的记录,包括管辖区之间的PII转移和向第三方的披露。
ISO27701认证对控制器特定要求
1)隐私权声明–组织必须提供隐私政策,其中包含有关PII收集,使用和处理的特定信息。
2)处理器合同要求–组织必须与处理者签订书面合同,处理特定项目,例如保护PII,将处理限制为收集PII的特定目的,并提供违反PII的通知。
3)个人权利–ISO27701要求组织实施各种机制,以容纳个人访问,更正和删除其PII的权利,以及反对或限制PII的处理等。
4)设计和默认情况下的隐私–组织必须采取措施,通过设计使隐私原则和默认情况下的隐私原则付诸实践。
ISO27701认证对处理器特定要求
1)加工限制-组织必须仅根据控制器或处理器的书面说明来处理PII(取决于客户的角色)
2)协助个人权利–ISO27701要求加工商采取措施,协助客户遵守个人权利。
3)转让和披露–加工商必须提前将司法管辖区之间的PII转移或其任何预期变更告知客户。
4)分包商–ISO27701要求加工商仅根据客户合同的条款聘用分包商来处理PII。
ISO27701认证的好处
符合ISO27701认证首先要求符合ISO27001的要求。它们旨在相互补充。遵循ISO27701认证要求的组织创建有关其如何处理PII的书面证据,可用于促进与PII的处理相关的业务伙伴的协议,并阐明组织与其他利益相关者的PII的处理。尽管GDPR尚无认可的认证方法,但根据最近的报道,ISO27701认证可能会在不久的将来改变这一现状。
如何实施ISO27001认证?
要求供应商代表他们处理和维护PII的客户应考虑合同规定这些供应商不仅要遵守ISO27001,而且要符合ISO27701,或者在适用于数据敏感性的情况下获得ISO27701标准的认证。即使客户不要求供应商通过独立的第三方认证也符合新标准ISO27701认证,他们仍可能希望更新合同以确保供应商可以符合ISO27701认证的要求。由于ISO27701认证仍然非常对于新合同,卖方应遵守本新标准的规定合理的时间延迟,以便将其包括在这些合同中。
已通过ISO27001认证并希望实施ISO27701要求的组织应考虑采取以下步骤:
1)对现有ISMS进行符合ISO27701认证要求的差距评估,并就如何解决这些差距制定行动计划。
2)对组织收集的PII进行数据映射,以了解收集的PII的范围以及如何使用和与处理器共享。
3)根据与组织环境相关的内部或外部因素(例如适用的隐私法规,法规,司法决定或合同要求)确定组织
作为控制者和/或处理者的角色。
4)查看并更新隐私策略,以确保它们包含必需的信息。
5)制定适用工组织色色的政管和程
6)通过设计和默认原则开始规划和实施隐私。
在世界各地,立法者和监管者都在引入新的法律来规范数据的使用,尤其是PII。最近,GDPR的出现使许多企业(包括客户和供应商)争相达成合规性。不断变化的法律环境给所有企业带来了挑战,尤其是必须遵守多个司法管辖区法规的企业。新的ISO27701认证标准不会尝试单独和本地处理每项新法律,而是提供-种统一的方式来决定,计划,实施和记录组织在全球范围内的数据隐私方法。
无论组织的规模大小,是PII的控制者还是处理者,企业都应考虑为自己的组织或向供应商要求获得ISO27701认证。对于处理敏感或大量PII的处理器,子处理器和联合控制器尤其如此。
