欢迎访问北京恩格威认证中心有限公司!
新闻资讯 NEWS INFORMATION
一文读懂ISO/IEC 27701:2019隐私信息管理体系标准

发布时间:2022-05-21 作者:恩格威

随着信息技术的不断发展,人们对信息安全的关注日益提升,全球多个国家和地区相继出台了一系列隐私保护的法律法规,例如欧盟的GDPR,中国的网络安全法,以及香港的个人隐私条例等,当前几乎所有的组织都有处理个人信息 (PII) 的情况。

486b810885ece103da31f85d980ec260.png

201986日,国际标准化组织ISO和国际电工委员会IEC正式对外发布ISO/IEC 27701隐私信息管理体系标准。这标志着信息安全、隐私与个人信息保护,在国际间法律与法规的合规展现有了一致性的标准。

ISO/IEC 27701作为ISO/IEC 27001ISO/IEC 27002在管理上的延伸标准,其目标是通过新增的要求来增强现有信息安全管理体系(ISMS,以便建立、实施、维护和不断改进隐私信息管理体系(PIMS),标准概述了适用于个人身份信息(PII)控制者和PII处理者的框架,用于隐私控制管理,以降低对个人隐私的各种风险。

fff23b29787109bdb27733df2310277e.png

ISO/IEC 27701标准介绍

01

关键术语解释

PII:个人可识别身份信息,指 a) 任何可以识别PII主体的信息或 b) 直接或间接与PII主体相关的信息

PIMSPrivacy Information Management System,隐私信息管理体系

02

ISO 27701结构组成

ISO 27701ISO 27001ISO 27002在隐私方面的扩展,并为隐私保护提供了除ISO 27001ISO 27002之外的额外的指导。全文共分为8个章节及6个附录,主要的要求和指导内容集中在第5-8章。

其中第5章介绍了ISO 27001中延伸出的关于PIMS的扩展要求以及本标准对PIMS的附加要求,第6章则介绍了ISO 27002中对PIMS的扩展及附加要求,这两章的内容对PII控制者和处理者均适用,结构和控制域与原标准一致,包含ISO 2700214个控制域、114个控制项。

7章为专门针对PII控制者的额外指导内容,共31个控制项,第8章则为针对PII处理者的额外指导内容,共18个控制项,这两章均从PII的收集和处理,对PII主体的义务,Privacy by design & Privacy by defaultPII的共享、传输和披露四个方面作出相应规定。

总体而言,本标准通过第5章和第6章将ISO 27002与附加的PIMS控制项通过ISO 27001PDCA的方式导入体系,形成完整的信息安全和隐私管理体系。此外,第7章和第8章从数据生命周期的角度新增分别针对PII控制者和处理者的控制要求。


 f23ced153d85da664f91308b827b35bb.png


ISO 27701扩展了ISO 27001的要求,在原有管理、实施、操作、监控、审查和不断改进ISMS的流程基础上,着重考虑了对于企业所持有PII的隐私保护。同时ISO 27701ISO 27002实施指南中的隐私性进行了解释和扩展,除业务连续性以外的所有控制域均增加了关于PII隐私的实施指南。ISO 27701分别从PII控制者和PII处理者的角度,补充说明了收集和处理PII的条件、对PII主体的隐私保护义务、Privacy by design and privacy by default以及PII共享、转移和披露的相关要求。

b63eea5fd2a305d94f83550293c32c64.png

伴随着数字时代的到来,数字化信息处理日趋普遍。对于PII处理而言,人们在享受数字化所带来的诸多便利同时,也面临着由PII数字化所带来的风险。PIMS作为一个国际通用的隐私信息管理工具,能够有效的协助企业对对隐私风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平,并建立隐私保护体系,从管理与技术等多方面出发,从而使企业满足国内外的监管合规要求。同时,隐私信息管理体系的建设,一定程度上也是企业隐私保护能力的一种体现,能够增强企业与消费者、合作伙伴甚至是监管部门的相互信任。

北京恩格威认证中心有限公司(NGV)在IT信息安全领域服务范围广泛,致力于为各行业机构提供全方位管理提升服务,包括:ISO/IEC 27701ISO/IEC 27001ISO/IEC 20000ISO/IEC 27017ISO/IEC 27018ISO 22301等培训、认证和审核相关服务。