• <tr id="npd7c"><span id="npd7c"></span></tr>

          <wbr id="npd7c"></wbr>
          <wbr id="npd7c"><pre id="npd7c"></pre></wbr>

          歡迎您來到上海迭心信息科技有限公司!我司專注CMMI、ITSS、CCRC、CS、DCMM、ASPICE、DSMM、涉密資質、知識產權貫標、ISO等資質認證
          上海:021-58445696
          當前位置:首頁 >  核心業務

          ISO27701隱私信息管理體系

          2022-08-10 10:24:54 854

          一、簡介

          2019年8月,ISO組織正式發布了ISO/IEC 27701,安全技術——擴展的ISO/IEC 27001和ISO/IEC 27002 隱私信息管理要求和指南。

          該標準建立在ISO/IEC 27001要求的基礎之上,在隱私方面提供了必要的額外要求。規定了建立、實施、維護和持續改進隱私相關所特定的信息安全管理體系的要求。換句話說,就是保護個人信息的管理體系(以下簡稱PIMS)。

          ISO/IEC 27701標準的正文由8個條款組成,其中:

          條款1-4,給出了標準范圍、術語、定義等

          條款5給出了ISO 27001相關的PIMS要求

          條款6給出了ISO 27002相關的PIMS指南

          條款7給出了針對PII控制者的ISO 27002擴展指南

          條款8給出了針對PII處理者的ISO 27002擴展指南

          附錄A,針對PII控制者的PIMS特定的控制目標和控制措施

          附錄B,針對PII處理者的PIMS特定的控制目標和控制措施

          附錄C,與ISO/IEC 29100的對應

          附錄D,與GDPR的對應

          附錄E,與ISO/IEC 27018和ISO/IEC 29151的對應

          附錄F,如何在ISO/IEC 27001和ISO/IEC 27002的基礎上實施ISO/IEC 27701

          ISO 27701的前身為ISO/IEC 27552,由ISO/IEC技術委員會ISO/IEC JTC1/SC 27, Information security, cybersecurity and privacy protection第五工作組開發,該工作組由來自世界各地的數據保護機構、安全機構、學術界和工業界的專家組成。

          幾乎每個組織都處理個人身份信息(PII),保護PII不僅是法律要求,也是社會需要。隨著與隱私和數據保護相關的投訴和罰款數量的增加,對這一標準的需求現在是顯而易見的。法國保護個人資料獨立監察機構國家資訊及自由委員會的Matthieu Grall是SC 27的積極參與者,并對該標準的發展作出了貢獻。他說,隨著越來越嚴格的數據保護要求和法律,我們看到了對這一標準的強烈需求。此外,組織需要給他們的監管機構、合作伙伴、客戶和雇員帶來信任。這樣的標準將有力地促進這種信任。

          二、ISO27701認證的主要目標是什么

          通過PIMS的擴展以及與隱私相關的控制來增強現有的信息安全管理體系(1SMS),簡化復雜的重疊隱私法的管理,創建一個以證據為基礎的隱私計劃,并通過公認的認證形式表明該計劃的合規性,并作為潛在的GDPR合規性的基礎。

          現在發布的ISO27701認證標準還實現了其他一些目的。一方面,它充當PIMS與ISMS或ISO27001之間關系和連接的概述。它還詳述了所需的功能,并列出了PIMS數據處理器和控制器的隱私控制。在更大范圍內,ISO27701認證將信息隱私要求映射到相關的ISO標準和GDPR。

          三、ISO27701認證的好處

          ISO/IEC27701該標準為企業和其他組織提供了一個國際通用的隱私信息管理工具,對于降低企業隱私合規難度,便利企業提供合規證明,增強社會各方對企業的信任程度具有重要意義。

          實施隱私信息管理,至少獲得如下收益:

          1)合規。通過明確對PII處理者的隱私保護要求,可以明確隱私保護管理合規目標,減輕組織合規負擔的同時降低組織合規風險,ISO27701標準附錄D中明確表示,單個隱私控制點可以滿足GDPR中的多項要求,滿足了ISO27701 標準也就意味著基本滿足 GDPR 的要求,而GDPR 是眾多隱私保護法規中最為嚴格的,也就意味著滿足了即將頒布的《隱私保護法》的系列要求。

          2)完善數據安全能力和風險管理。實現持續的完善產品的非功能性要求,進而展示出產品在處理個人隱私安全、安全治理的績效,通過流程分析,在流程的輸入、輸出、控制過程中,識別、分析、驗證隱私保護需求、傳遞隱私保護價值,減少甚至消除隱私泄露的風險,如:體現為采用隱私控制技術(如日志脫敏、數據庫加密)、產品架構(如加密芯片)、技術路徑(如完整性校驗)等。

          3)PIMS認證可以傳遞信任??蛻艋蚝献骰锇?,尤其是政府組織、金融機構作為承擔隱私風險的機構,通常會要求Pll處理者提供相關證據(如PIA分析報告)。從而證明P1處理者的產品能符合話用的隱私管理體系要求。通過得到授權的第三方機構對P1外理者進行甚干國際標準的宙核,可以極大地降低合規溝通成本,這種合規透明度的提高對干組織戰略和業務決策至關重要,同時PIMS認證中有助于向公眾傳達組織的可信度。

          展開

        1. <tr id="npd7c"><span id="npd7c"></span></tr>

                <wbr id="npd7c"></wbr>
                <wbr id="npd7c"><pre id="npd7c"></pre></wbr>

                精品亚洲av无码1区2区3区