ISO27701隱私信息安全管理體系詳細(xì)介紹

Date03 6 月 2021

ISO27701認(rèn)證隱私信息安全管理體系
2019年8月6日，國際標(biāo)準(zhǔn)化組織（ISO）和國際電工委員會（IEC）發(fā)布了ISO／IEC 27701（ISO27701）這是ISO／IEC 27001和ISO／IEC 27002的隱私擴(kuò)展，旨在幫助組織保護(hù)和控制他們處理的個人信息。類似于現(xiàn)有的ISO標(biāo)準(zhǔn)ISO27701補(bǔ)充，此新的ISO標(biāo)準(zhǔn)可能成為組織保護(hù)個人身份信息（PII）的事實上的護(hù)理標(biāo)準(zhǔn)，并且可以用來證明其遵守全球隱私法規(guī)，包括通用數(shù)據(jù)保護(hù)法規(guī)（EU）2016／679（GDPR）。
這一新標(biāo)準(zhǔn)是實現(xiàn)安全合規(guī)的“錦上添花”。眾所周知的ISO27001構(gòu)成了基礎(chǔ)，而新的ISO27701認(rèn)證則在此基礎(chǔ)上進(jìn)行了構(gòu)建，以提供一套全面的信息安全和個人信息保護(hù)控制措施。
什么是ISO27701?
ISO27701認(rèn)證最初開發(fā)為ISO／IEC 27552，它為建立，實施，維護(hù)和持續(xù)改進(jìn)隱私信息安全管理體系（PIMS）提供了特定要求和指導(dǎo)，作為對ISO27001中定義的靈活信息安全管理體系（ISMS）的擴(kuò)展。除了信息安全之外，還應(yīng)考慮到處理PII所需的隱私保護(hù)。像ISO27001認(rèn)證標(biāo)準(zhǔn)一樣，ISO27701認(rèn)證并不希望組織在所有情況下都采用每種控件。相反，它要求組織了解處理PII的特定上下文，并以適合其處理活動的方式調(diào)整特定的控件集以及這些控件的相關(guān)實現(xiàn)。
為了更好地理解新標(biāo)準(zhǔn)ISO27701認(rèn)證，應(yīng)該理解兩個關(guān)鍵術(shù)語：控制器和處理器。這些術(shù)語可在包括GDPR在內(nèi)的許多隱私法律和法規(guī)中找到。通常，“控制者”是指示首先收集和處理PII的原因的實體，“處理者”是負(fù)責(zé)代表該個人處理此類數(shù)據(jù)的獨立法律實體（即，不是雇員）。
簡而言之，ISO27701認(rèn)證是ISO27001認(rèn)證的增強(qiáng)擴(kuò)展。該標(biāo)準(zhǔn)可以提供通用數(shù)據(jù)保護(hù)法規(guī)（GDPR）要求
的數(shù)據(jù)隱私和信息安全標(biāo)準(zhǔn)。為了有效地管理隱私，它包含用于個人身份信息（PII）處理器和控制器的結(jié)構(gòu)。
實施ISO27701將創(chuàng)建一個隱私信息安全管理體系，稱PIMS。
使用ISO27701認(rèn)證作為數(shù)據(jù)安全性標(biāo)準(zhǔn)，可以向客戶和利益相關(guān)者展示您的公司支持GDPR合規(guī)性和隱私法規(guī)。此外，它還可以確保您擁有他們可以信任的有效系統(tǒng)。通過使用控件降低個人和公司的潛在信息安全和隱私風(fēng)險，您可以創(chuàng)建一個更值得信賴的品牌。
新發(fā)布的ISO27701認(rèn)證標(biāo)準(zhǔn)既適用于PII的控制器（以及聯(lián)合控制器），也適用于PII的處理器（包括子處理器），而不管其運營所在的管轄區(qū)和部門如何，并且還包括對GDPR和ISO／IEC的映射29100，ISO／IEC 27018和ISO／IEC 29151安全框架。應(yīng)預(yù)料到將ISO27701要求映射到其他隱私法律，例如2018年《加利福尼亞消費者隱私法案》（CCPA），GLBA和HIPAA，并將通過提供證明遵守這些監(jiān)管制度的通用標(biāo)準(zhǔn)來幫助組織。
ISO27701認(rèn)證的目的是什么？
由于ISO27701是一種PIMS，因此其目的主要與數(shù)據(jù)隱私和安全性有關(guān)。它專門包含隱私控制和實踐的框架和要求。ISO27701是ISO27001的擴(kuò)展，因此對于希望實施PIMS的公司而言，后者是必需的。
ISO27701認(rèn)證的主要目標(biāo)是：
通過PIMS的擴(kuò)展以及與隱私相關(guān)的控制來增強(qiáng)現(xiàn)有的信息安全管理體系（ISMS），簡化復(fù)雜的重疊隱私法的管理，創(chuàng)建一個以證據(jù)為基礎(chǔ)的隱私計劃，并通過公認(rèn)的認(rèn)證形式表明該計劃的合規(guī)性，并作為潛在的GDPR合規(guī)性的基礎(chǔ)。
現(xiàn)在發(fā)布的ISO27701認(rèn)證標(biāo)準(zhǔn)還實現(xiàn)了其他一些目的。一方面，它充當(dāng)PIMS與ISMS或ISO27001之間關(guān)系和連接的概述。它還詳述了所需的功能，并列出了PIMS數(shù)據(jù)處理器和控制器的隱私控制。在更大范圍內(nèi)，ISO27701認(rèn)證將信息隱私要求映射到相關(guān)的ISO標(biāo)準(zhǔn)和GDPR。
下面提供了適用于控制器和處理器的某些關(guān)鍵ISO27701認(rèn)證關(guān)鍵要求的高級概述。
ISO27701認(rèn)證對適用于控制器和處理器的要求
1）機(jī)密性–被授權(quán)訪問PII的個人必須簽署保密協(xié)議。
2）分析風(fēng)險–必須進(jìn)行隱私風(fēng)險評估以識別PII處理風(fēng)險。
3）監(jiān)督–組織必須任命一個負(fù)責(zé)制定，實施，維護(hù)和監(jiān)視其治理和隱私計劃的人員。
4）培訓(xùn)–需要對有權(quán)使用PII的人員進(jìn)行隱私意識培訓(xùn)。
5）內(nèi)部流程–組織必須采用各種政策和程序，例如針對違反PII的事件響應(yīng)計劃。
6）保持記錄–ISO27701要求組織保留所有PII處理活動的記錄，包括管轄區(qū)之間的PII轉(zhuǎn)移和向第三方的披露。
ISO27701認(rèn)證對控制器特定要求
1）隱私權(quán)聲明–組織必須提供隱私政策，其中包含有關(guān)PII收集，使用和處理的特定信息。
2）處理器合同要求–組織必須與處理者簽訂書面合同，處理特定項目，例如保護(hù)PII，將處理限制為收集PII的特定目的，并提供違反PII的通知。
3）個人權(quán)利–ISO27701要求組織實施各種機(jī)制，以容納個人訪問，更正和刪除其PII的權(quán)利，以及反對或限制PII的處理等。
4）設(shè)計和默認(rèn)情況下的隱私–組織必須采取措施，通過設(shè)計使隱私原則和默認(rèn)情況下的隱私原則付諸實踐。
ISO27701認(rèn)證對處理器特定要求
1）加工限制-組織必須僅根據(jù)控制器或處理器的書面說明來處理PII（取決于客戶的角色）
2）協(xié)助個人權(quán)利–ISO27701要求加工商采取措施，協(xié)助客戶遵守個人權(quán)利。
3）轉(zhuǎn)讓和披露–加工商必須提前將司法管轄區(qū)之間的PII轉(zhuǎn)移或其任何預(yù)期變更告知客戶。
4）分包商–ISO27701要求加工商僅根據(jù)客戶合同的條款聘用分包商來處理PII。
ISO27701認(rèn)證的好處
符合ISO27701認(rèn)證首先要求符合ISO27001的要求。它們旨在相互補(bǔ)充。遵循ISO27701認(rèn)證要求的組織創(chuàng)建有關(guān)其如何處理PII的書面證據(jù)，可用于促進(jìn)與PII的處理相關(guān)的業(yè)務(wù)伙伴的協(xié)議，并闡明組織與其他利益相關(guān)者的PII的處理。盡管GDPR尚無認(rèn)可的認(rèn)證方法，但根據(jù)最近的報道，ISO27701認(rèn)證可能會在不久的將來改變這一現(xiàn)狀。
如何實施ISO27001認(rèn)證？
要求供應(yīng)商代表他們處理和維護(hù)PII的客戶應(yīng)考慮合同規(guī)定這些供應(yīng)商不僅要遵守ISO27001，而且要符合ISO27701，或者在適用于數(shù)據(jù)敏感性的情況下獲得ISO27701標(biāo)準(zhǔn)的認(rèn)證。即使客戶不要求供應(yīng)商通過獨立的第三方認(rèn)證也符合新標(biāo)準(zhǔn)ISO27701認(rèn)證，他們?nèi)钥赡芟Ｍ潞贤源_保供應(yīng)商可以符合ISO27701認(rèn)證的要求。由于ISO27701認(rèn)證仍然非常對于新合同，賣方應(yīng)遵守本新標(biāo)準(zhǔn)的規(guī)定合理的時間延遲，以便將其包括在這些合同中。
已通過ISO27001認(rèn)證并希望實施ISO27701要求的組織應(yīng)考慮采取以下步驟：
1）對現(xiàn)有ISMS進(jìn)行符合ISO27701認(rèn)證要求的差距評估，并就如何解決這些差距制定行動計劃。
2）對組織收集的PII進(jìn)行數(shù)據(jù)映射，以了解收集的PII的范圍以及如何使用和與處理器共享。
3）根據(jù)與組織環(huán)境相關(guān)的內(nèi)部或外部因素（例如適用的隱私法規(guī)，法規(guī)，司法決定或合同要求）確定組織
作為控制者和／或處理者的角色。
4）查看并更新隱私策略，以確保它們包含必需的信息。
5）制定適用工組織色色的政管和程
6）通過設(shè)計和默認(rèn)原則開始規(guī)劃和實施隱私。
在世界各地，立法者和監(jiān)管者都在引入新的法律來規(guī)范數(shù)據(jù)的使用，尤其是PII。最近，GDPR的出現(xiàn)使許多企業(yè)（包括客戶和供應(yīng)商）爭相達(dá)成合規(guī)性。不斷變化的法律環(huán)境給所有企業(yè)帶來了挑戰(zhàn)，尤其是必須遵守多個司法管轄區(qū)法規(guī)的企業(yè)。新的ISO27701認(rèn)證標(biāo)準(zhǔn)不會嘗試單獨和本地處理每項新法律，而是提供-種統(tǒng)一的方式來決定，計劃，實施和記錄組織在全球范圍內(nèi)的數(shù)據(jù)隱私方法。
無論組織的規(guī)模大小，是PII的控制者還是處理者，企業(yè)都應(yīng)考慮為自己的組織或向供應(yīng)商要求獲得ISO27701認(rèn)證。對于處理敏感或大量PII的處理器，子處理器和聯(lián)合控制器尤其如此。