ISO27701認(rèn)證標(biāo)準(zhǔn)是什么

Date04 6 月 2021

ISO27701認(rèn)證標(biāo)準(zhǔn)是什么
ISO 27701 源自ISO／IEC 27552，為建立、實現(xiàn)、維護(hù)和持續(xù)改進(jìn)隱私信息管理系統(tǒng)（PIMS）提供具體要求和指南，令PIMS作為ISO 27001中定義的靈活信息安全管理系統(tǒng)（ISMS）的擴(kuò)展，在信息安全的基礎(chǔ)上將處理PII所需的隱私保護(hù)納入考慮。
與ISO 27001標(biāo)準(zhǔn)類似，ISO 27701不期望組織機(jī)構(gòu)在所有情況下采納每一條控制。相反，該標(biāo)準(zhǔn)要求組織機(jī)構(gòu)理解自身PII處理的具體上下文，以適合其處理活動的方式調(diào)整特定控制集和與之相關(guān)的實現(xiàn)。
為更好地理解新標(biāo)準(zhǔn)，需要弄清兩個關(guān)鍵術(shù)語：控制者和處理者。這兩個術(shù)語在很多隱私法律和規(guī)定中都能見到，包括GDPR。通常，“控制者”是指示為什么要收集和處理PII的實體，“處理者”是代表該控制者負(fù)責(zé)處理此數(shù)據(jù)的另一個法律實體（非員工）。新發(fā)布的標(biāo)準(zhǔn)適用于PII控制者（及聯(lián)合控制者）和處理者（包括下級處理者），無論其運(yùn)營的行業(yè)和司法轄區(qū)，也包括到GDPR和SO／IEC 29100、ISO／IEC 27018及ISO／IEC 29151安全框架的映射。預(yù)計ISO 27701要求還將映射到其他隱私法律，如《2018加州消費(fèi)者隱私法案》（CCPA）、《金融服務(wù)現(xiàn)代化法案》（GLBA）和《健康保險流通與責(zé)任法案》（HIPAA）等，通過提供通用的合規(guī)標(biāo)準(zhǔn)幫助組織機(jī)構(gòu)更好地符合這些監(jiān)管要求。
下面我們就就來看看適用于控制者和處理者的關(guān)鍵ISO 27701要求。
適用于控制者和處理者的要求
保密性：經(jīng)授權(quán)訪問PII的個人必須履行保密協(xié)議。
分析風(fēng)險：必須進(jìn)行隱私風(fēng)險評估以識別 PII處理風(fēng)險。
監(jiān)管：組織機(jī)構(gòu)必須指定負(fù)責(zé)開發(fā)、實現(xiàn)、維護(hù)和監(jiān)視其治理及隱私項目的個人。
培訓(xùn)：可以訪問PII的人員需經(jīng)過隱私意識培訓(xùn)。
內(nèi)部過程：組織機(jī)構(gòu)必須為應(yīng)對PII泄露事件而采納各種策略和規(guī)程，比如事件響應(yīng)計劃。
記錄保存：ISO 27701要求組織機(jī)構(gòu)保留所有PII處理活動的記錄，包括PII在司法轄區(qū)間轉(zhuǎn)移和向第三方披露等。
特定于控制者的要求
隱私通告：組織機(jī)構(gòu)必須提供包含PII收集、使用和處理相關(guān)具體信息的隱私政策。
處理者合同要求：組織機(jī)構(gòu)必須與其處理者簽訂書面合同，約定具體事項，比如保護(hù)PII、限制處理操作僅可在PII特定用途范圍內(nèi)，以及提供PII泄露通報。
個人權(quán)益：ISO 27701要求組織機(jī)構(gòu)實現(xiàn)各種機(jī)制，賦予個人訪問、修改和刪除其PII，以及反對或限制PII處理等權(quán)益。
設(shè)計隱私與默認(rèn)隱私：組織機(jī)構(gòu)必須采取措施實現(xiàn)設(shè)計隱私和默認(rèn)隱私原則。
特定于處理者的要求
處理限制：組織機(jī)構(gòu)必須僅按控制者或處理者（取決于客戶的角色）的說明處理PII。
輔助個人權(quán)益：ISO 27701 要求處理者實現(xiàn)幫助客戶遵從個人權(quán)益的種種措施。轉(zhuǎn)移與披露：處理者必須于PII在司法轄區(qū)間轉(zhuǎn)移或任何預(yù)期變化發(fā)生前通告客戶。
分包商：ISO 27701要求處理者僅可雇傭一家分包商按照客戶合同的條款處理PII。
ISO 27701的好處
ISO 27701 合規(guī)首先要求ISO 27001合規(guī)。二者互為補(bǔ)充。遵從ISO 27701要求的組織機(jī)構(gòu)會留下其PII處理方式的書面證據(jù)，可用于推動與商業(yè)合作伙伴就PII處理問題簽訂協(xié)議，明確該組織機(jī)構(gòu)與其他利益相關(guān)者間的 PII處理方式。盡管GDPR尚未確立官方認(rèn)證方法，近期報告表明，ISO 27701或可在近期改變這一現(xiàn)狀。
該做什么？
客戶若想雇傭供應(yīng)商代表自己處理和維護(hù)PII，應(yīng)考慮以合同的形式要求這些供應(yīng)商不僅遵從ISO 27001，還要遵從ISO 27701，或者在數(shù)據(jù)敏感度適用的情況下取得符合該標(biāo)準(zhǔn)的認(rèn)證。即使客戶不要求供應(yīng)商經(jīng)過獨(dú)立第三方的新標(biāo)準(zhǔn)合規(guī)認(rèn)證，可能也想要更新合同，確保供應(yīng)商能夠符合ISO 27701的要求。鑒于ISO 27701才剛發(fā)布，合同中也可寫入供應(yīng)商符合新標(biāo)準(zhǔn)要求的合理時延。
已經(jīng)通過ISO 27001認(rèn)證，希望實現(xiàn)ISO 27701 要求的組織機(jī)構(gòu)，可以考慮采取下列步驟：
1．按照ISO 27701的要求對現(xiàn)有ISMS執(zhí)行漏洞評估，生成如何解決這些漏洞的行動計劃。
2．對組織機(jī)構(gòu)收集的 PII執(zhí)行數(shù)據(jù)映射，了解所收集PII的范圍，弄清處理者共享和使用PII的方式。
3．依據(jù)上下文相關(guān)的內(nèi)部或外部因素，比如適用的隱私立法、規(guī)定、司法判決或合同要求等，確定組織機(jī)構(gòu)作為控制者和／或處理者的角色。
4．審核并更新隱私政策，確保含有所要求的信息。
5．制定適用于該組織機(jī)構(gòu)角色的策略和規(guī)程。
6．開始規(guī)劃和實現(xiàn)設(shè)計隱私與默認(rèn)隱私原則。