隱私信息管理體系ISO/IEC 27701標(biāo)準(zhǔn)解析

Date31 5 月 2021

隨著社交媒體APP和物聯(lián)網(wǎng)設(shè)備在生活中的廣泛應(yīng)用，以及全球隱私法律法規(guī)的激增，諸如：《歐盟通用數(shù)據(jù)保護條例》（GDPR）、《加州消費者隱私法》（CCPA）和《中國網(wǎng)絡(luò)安全法》（China network security Law），隱私保護問題已然成為了當(dāng)前社會的焦點，這意味著組織現(xiàn)在面臨著來自客戶、最終用戶、投資者和監(jiān)管機構(gòu)的多重壓力，企業(yè)如何管理個人可識別信息（PII）或個人數(shù)據(jù)，如何確保隱私合規(guī)，都成為擺在企業(yè)面前亟待解決的新問題和新挑戰(zhàn)。
隱私的概念經(jīng)常被誤解或被錯誤地對待。許多企業(yè)認(rèn)為，不將數(shù)據(jù)傳遞給第三方并確保其數(shù)據(jù)庫受密碼保護就足夠了。諸如“同意”、“托收目的”或“跨境轉(zhuǎn)移”等概念要么被忽視，要么不被理解。針對GDPR和CCPA的嚴(yán)厲罰款讓許多組織已經(jīng)意識到了這些風(fēng)險，并開始注重其隱私保護。
2019年8月發(fā)布的隱私安全標(biāo)準(zhǔn)ISO/IEC 27701:2019，能幫助企業(yè)拓展ISO /IEC 27001體系對保護隱私的局限性，更全面、準(zhǔn)確、充分地應(yīng)對隱私保護及合規(guī)要求。
今天我們先來看看ISO/IEC 27701:2019 標(biāo)準(zhǔn)的結(jié)構(gòu)及其與 ISO/IEC 27001 和 ISO/IEC 27002之間的關(guān)系。
ISO/IEC 27701:2019的正式名稱為安全技術(shù)–ISO/IEC 27001 和 ISO/IEC 27002 對隱私信息管理的擴展–要求和指南。其以ISO/IEC 27001 和 ISO/IEC 27002 對隱私信息管理的擴展方式，為在組織范圍內(nèi)建立、實施、維護和持續(xù)改進隱私信息管理體系（PIMS）指定要求，并提供指南。
與ISO/IEC 27001 配合使用，是認(rèn)證要求和實施指南的組合體。它是對ISO/IEC 27001 的擴展，因其增加了附加的PIMS 相關(guān)要求，如條款5、附錄 A 和附錄 B。認(rèn)證要求在標(biāo)準(zhǔn)中共有67項，表述為’應(yīng)’。同時，為組織實施 PIMS，還增加了從ISO/IEC 27002 到 PIMS的附加指南，例如條款6、7和8。
一表了解ISO/IEC 27701:2019 標(biāo)準(zhǔn)的詳細(xì)結(jié)構(gòu)：
條款條款標(biāo)題備注
1 范圍標(biāo)準(zhǔn)的適用性
2 規(guī)范性引用文件標(biāo)準(zhǔn)參考
3 術(shù)語、定義和縮寫
4 總則標(biāo)準(zhǔn)結(jié)構(gòu)的描述
5 與 ISO/IEC 27001 相關(guān)的PIMS特定要求在ISO/IEC 27001 中要求的PIMS特定要求
6 與 ISO/IEC 27002 相關(guān)的PIMS特定指南在ISO/IEC 27002中，PIMS對控制點的特定指南
7 對PII控制者附加的ISO/IEC 27002指南對PII控制者的附加ISO/IEC 27002指南
8 對PII處理者附加的ISO/IEC 27002指南對PII處理者附加的ISO/IEC 27002指南

附錄 A （規(guī)范性附錄）PIMS特定參考控制目標(biāo)和控制（PII 控制者）強制性控制，適用于數(shù)據(jù)控制者
附錄 B （規(guī)范性附錄）PIMS特定參考控制目標(biāo)和控制（PII 處理者）強制性控制，適用于數(shù)據(jù)處理者
附錄 C 與ISO/IEC 29100的對照關(guān)系非認(rèn)證的、信息性的附錄
附錄 D 與通用數(shù)據(jù)保護條例（GDPR）的對照關(guān)系
附錄 E 附錄 E（信息性），與ISO/IEC 27018和ISO/IEC 29151 的對照關(guān)系
附錄 F 如何將ISO/IEC 27701 應(yīng)用于ISO/IEC 27001 和 ISO/IEC 27002
主要條款詳情：
條款5 與 ISO/IEC 27001 相關(guān)的PIMS特定要求
涵蓋了對 ISO/IEC 27001:2013 條款4~10附加的要求，均為認(rèn)證要求。例如，如本標(biāo)準(zhǔn)中條款5.7.2 的表述：
ISO/IEC 27001:2013，9.2 中所述要求以及5.1 中所述的解釋均適用。
該標(biāo)準(zhǔn)不增加任何新的內(nèi)部審核要求，只要組織理解這是ISO/IEC 27001:2013 對處理個人可識別信息(PII)所可能增加風(fēng)險的“信息安全”要求。
ISO/IEC 27701:2019對ISO/IEC 27001的以下條款增加了附加的要求：

4.1 理解組織及其環(huán)境
4.2 理解相關(guān)方的需求和期望
4.3 確定信息安全管理體系的范圍
6.1.2 信息安全風(fēng)險評估
6.1.3 信息安全風(fēng)險處置
條款6 與ISO/IEC 27002相關(guān)的PIMS特定指南
涵蓋了與ISO/IEC 27002有關(guān)的其他PIMS相關(guān)指南。例如，標(biāo)準(zhǔn)條款6.9.4.4（與 ISO/IEC 27001:2013 的12.4.4 時鐘同步相對應(yīng)）不包含任何附加要求，因為時鐘同步與隱私風(fēng)險沒有相關(guān)性。