ISO27701認證標準是什么

Date04 6 月 2021

ISO27701認證標準是什么
ISO 27701 源自ISO／IEC 27552，為建立、實現(xiàn)、維護和持續(xù)改進隱私信息管理系統(tǒng)（PIMS）提供具體要求和指南，令PIMS作為ISO 27001中定義的靈活信息安全管理系統(tǒng)（ISMS）的擴展，在信息安全的基礎上將處理PII所需的隱私保護納入考慮。
與ISO 27001標準類似，ISO 27701不期望組織機構在所有情況下采納每一條控制。相反，該標準要求組織機構理解自身PII處理的具體上下文，以適合其處理活動的方式調整特定控制集和與之相關的實現(xiàn)。
為更好地理解新標準，需要弄清兩個關鍵術語：控制者和處理者。這兩個術語在很多隱私法律和規(guī)定中都能見到，包括GDPR。通常，“控制者”是指示為什么要收集和處理PII的實體，“處理者”是代表該控制者負責處理此數據的另一個法律實體（非員工）。新發(fā)布的標準適用于PII控制者（及聯(lián)合控制者）和處理者（包括下級處理者），無論其運營的行業(yè)和司法轄區(qū)，也包括到GDPR和SO／IEC 29100、ISO／IEC 27018及ISO／IEC 29151安全框架的映射。預計ISO 27701要求還將映射到其他隱私法律，如《2018加州消費者隱私法案》（CCPA）、《金融服務現(xiàn)代化法案》（GLBA）和《健康保險流通與責任法案》（HIPAA）等，通過提供通用的合規(guī)標準幫助組織機構更好地符合這些監(jiān)管要求。
下面我們就就來看看適用于控制者和處理者的關鍵ISO 27701要求。
適用于控制者和處理者的要求
保密性：經授權訪問PII的個人必須履行保密協(xié)議。
分析風險：必須進行隱私風險評估以識別 PII處理風險。
監(jiān)管：組織機構必須指定負責開發(fā)、實現(xiàn)、維護和監(jiān)視其治理及隱私項目的個人。
培訓：可以訪問PII的人員需經過隱私意識培訓。
內部過程：組織機構必須為應對PII泄露事件而采納各種策略和規(guī)程，比如事件響應計劃。
記錄保存：ISO 27701要求組織機構保留所有PII處理活動的記錄，包括PII在司法轄區(qū)間轉移和向第三方披露等。
特定于控制者的要求
隱私通告：組織機構必須提供包含PII收集、使用和處理相關具體信息的隱私政策。
處理者合同要求：組織機構必須與其處理者簽訂書面合同，約定具體事項，比如保護PII、限制處理操作僅可在PII特定用途范圍內，以及提供PII泄露通報。
個人權益：ISO 27701要求組織機構實現(xiàn)各種機制，賦予個人訪問、修改和刪除其PII，以及反對或限制PII處理等權益。
設計隱私與默認隱私：組織機構必須采取措施實現(xiàn)設計隱私和默認隱私原則。
特定于處理者的要求
處理限制：組織機構必須僅按控制者或處理者（取決于客戶的角色）的說明處理PII。
輔助個人權益：ISO 27701 要求處理者實現(xiàn)幫助客戶遵從個人權益的種種措施。轉移與披露：處理者必須于PII在司法轄區(qū)間轉移或任何預期變化發(fā)生前通告客戶。
分包商：ISO 27701要求處理者僅可雇傭一家分包商按照客戶合同的條款處理PII。
ISO 27701的好處
ISO 27701 合規(guī)首先要求ISO 27001合規(guī)。二者互為補充。遵從ISO 27701要求的組織機構會留下其PII處理方式的書面證據，可用于推動與商業(yè)合作伙伴就PII處理問題簽訂協(xié)議，明確該組織機構與其他利益相關者間的 PII處理方式。盡管GDPR尚未確立官方認證方法，近期報告表明，ISO 27701或可在近期改變這一現(xiàn)狀。
該做什么？
客戶若想雇傭供應商代表自己處理和維護PII，應考慮以合同的形式要求這些供應商不僅遵從ISO 27001，還要遵從ISO 27701，或者在數據敏感度適用的情況下取得符合該標準的認證。即使客戶不要求供應商經過獨立第三方的新標準合規(guī)認證，可能也想要更新合同，確保供應商能夠符合ISO 27701的要求。鑒于ISO 27701才剛發(fā)布，合同中也可寫入供應商符合新標準要求的合理時延。
已經通過ISO 27001認證，希望實現(xiàn)ISO 27701 要求的組織機構，可以考慮采取下列步驟：
1．按照ISO 27701的要求對現(xiàn)有ISMS執(zhí)行漏洞評估，生成如何解決這些漏洞的行動計劃。
2．對組織機構收集的 PII執(zhí)行數據映射，了解所收集PII的范圍，弄清處理者共享和使用PII的方式。
3．依據上下文相關的內部或外部因素，比如適用的隱私立法、規(guī)定、司法判決或合同要求等，確定組織機構作為控制者和／或處理者的角色。
4．審核并更新隱私政策，確保含有所要求的信息。
5．制定適用于該組織機構角色的策略和規(guī)程。
6．開始規(guī)劃和實現(xiàn)設計隱私與默認隱私原則。