2023年8月6日，國(guó)際標(biāo)準(zhǔn)化組織（ISO）和國(guó)際電工委員會(huì)（IEC）發(fā)布了ISO/IEC 27701（ISO27701），這是ISO/IEC 27001和ISO/IEC 27002的隱私擴(kuò)展，旨在幫助組織保護(hù)和控制他們處理的個(gè)人信息。 類(lèi)似于現(xiàn)有的ISO標(biāo)準(zhǔn)ISO27701補(bǔ)充，此新的ISO標(biāo)準(zhǔn)可能成為組織保護(hù)個(gè)人身份信息（PII）的事實(shí)上的護(hù)理標(biāo)準(zhǔn)，并且可以用來(lái)證明其遵守全球隱私法規(guī)，包括通用數(shù)據(jù)保護(hù)法規(guī)（EU）2016/679（GDPR）。

這一新標(biāo)準(zhǔn)是實(shí)現(xiàn)安全合規(guī)的“錦上添花”。 眾所周知的ISO27001構(gòu)成了基礎(chǔ)，而新的ISO27701認(rèn)證則在此基礎(chǔ)上進(jìn)行了構(gòu)建，以提供一套全面的信息安全和個(gè)人信息保護(hù)控制措施。

什么是ISO27701？

ISO27701認(rèn)證最初開(kāi)發(fā)為ISO/IEC 27552，它為建立，實(shí)施，維護(hù)和持續(xù)改進(jìn)隱私信息安全管理體系（PIMS）提供了特定要求和指導(dǎo)，作為對(duì)ISO27001中定義的靈活信息安全管理體系（ISMS）的擴(kuò)展。除了信息安全之外，還應(yīng)考慮到處理PII所需的隱私保護(hù)。 像ISO27001認(rèn)證標(biāo)準(zhǔn)一樣，ISO27701認(rèn)證并不希望組織在所有情況下都采用每種控件。 相反，它要求組織了解處理PII的特定上下文，并以適合其處理活動(dòng)的方式調(diào)整特定的控件集以及這些控件的相關(guān)實(shí)現(xiàn)。

為了更好地理解新標(biāo)準(zhǔn)ISO27701認(rèn)證，應(yīng)該理解兩個(gè)關(guān)鍵術(shù)語(yǔ)：控制器和處理器。 這些術(shù)語(yǔ)可在包括GDPR在內(nèi)的許多隱私法律和法規(guī)中找到。 通常，“控制者”是指示首先收集和處理PII的原因的實(shí)體，“處理者”是負(fù)責(zé)代表該個(gè)人處理此類(lèi)數(shù)據(jù)的獨(dú)立法律實(shí)體（即，不是雇員）。

簡(jiǎn)而言之，ISO27701認(rèn)證是ISO27001認(rèn)證的增強(qiáng)擴(kuò)展。該標(biāo)準(zhǔn)可以提供通用數(shù)據(jù)保護(hù)法規(guī)（GDPR）要求的數(shù)據(jù)隱私和信息安全標(biāo)準(zhǔn)。 為了有效地管理隱私，它包含用于個(gè)人身份信息（PII）處理器和控制器的結(jié)構(gòu)。 實(shí)施ISO27701將創(chuàng)建一個(gè)隱私信息安全管理體系，簡(jiǎn)稱(chēng)PIMS。

使用ISO27701認(rèn)證作為數(shù)據(jù)安全性標(biāo)準(zhǔn)，可以向客戶和利益相關(guān)者展示您的公司支持GDPR合規(guī)性和隱私法規(guī)。 此外，它還可以確保您擁有他們可以信任的有效系統(tǒng)。 通過(guò)使用控件降低個(gè)人和公司的潛在信息安全和隱私風(fēng)險(xiǎn)，您可以創(chuàng)建一個(gè)更值得信賴(lài)的品牌。

新發(fā)布的ISO27701認(rèn)證標(biāo)準(zhǔn)既適用于PII的控制器（以及聯(lián)合控制器），也適用于PII的處理器（包括子處理器），而不管其運(yùn)營(yíng)所在的管轄區(qū)和部門(mén)如何，并且還包括對(duì)GDPR和ISO/IEC的映射29100，ISO/IEC 27018和ISO/IEC 29151安全框架。 應(yīng)預(yù)料到將ISO27701要求映射到其他隱私法律，例如2018年《加利福尼亞消費(fèi)者隱私法案》（CCPA），GLBA和HIPAA，并將通過(guò)提供證明遵守這些監(jiān)管制度的通用標(biāo)準(zhǔn)來(lái)幫助組織。

ISO27701認(rèn)證的目的是什么？

由于ISO27701是一種PIMS，因此其目的主要與數(shù)據(jù)隱私和安全性有關(guān)。 它專(zhuān)門(mén)包含隱私控制和實(shí)踐的框架和要求。 ISO27701是ISO27001的擴(kuò)展，因此對(duì)于希望實(shí)施PIMS的公司而言，后者是必需的。

ISO27701認(rèn)證的主要目標(biāo)是：

通過(guò)PIMS的擴(kuò)展以及與隱私相關(guān)的控制來(lái)增強(qiáng)現(xiàn)有的信息安全管理體系（ISMS），簡(jiǎn)化復(fù)雜的重疊隱私法的管理，創(chuàng)建一個(gè)以證據(jù)為基礎(chǔ)的隱私計(jì)劃，并通過(guò)公認(rèn)的認(rèn)證形式表明該計(jì)劃的合規(guī)性，并作為潛在的GDPR合規(guī)性的基礎(chǔ)。

現(xiàn)在發(fā)布的ISO27701認(rèn)證標(biāo)準(zhǔn)還實(shí)現(xiàn)了其他一些目的。 一方面，它充當(dāng)PIMS與ISMS或ISO27001之間關(guān)系和連接的概述。它還詳述了所需的功能，并列出了PIMS數(shù)據(jù)處理器和控制器的隱私控制。 在更大范圍內(nèi)，ISO27701認(rèn)證將信息隱私要求映射到相關(guān)的ISO標(biāo)準(zhǔn)和GDPR。

下面提供了適用于控制器和處理器的某些關(guān)鍵ISO27701認(rèn)證關(guān)鍵要求的高級(jí)概述。

ISO27701認(rèn)證對(duì)適用于控制器和處理器的要求

1）機(jī)密性--被授權(quán)訪問(wèn)PII的個(gè)人必須簽署保密協(xié)議。

2）分析風(fēng)險(xiǎn)--必須進(jìn)行隱私風(fēng)險(xiǎn)評(píng)估以識(shí)別PII處理風(fēng)險(xiǎn)。

3）監(jiān)督--組織必須任命一個(gè)負(fù)責(zé)制定，實(shí)施，維護(hù)和監(jiān)視其治理和隱私計(jì)劃的人員。

4）培訓(xùn)--需要對(duì)有權(quán)使用PII的人員進(jìn)行隱私意識(shí)培訓(xùn)。

5）內(nèi)部流程--組織必須采用各種政策和程序，例如針對(duì)違反PII的事件響應(yīng)計(jì)劃。

6）保持記錄--ISO27701要求組織保留所有PII處理活動(dòng)的記錄，包括管轄區(qū)之間的PII轉(zhuǎn)移和向第三方的披露。

ISO27701認(rèn)證對(duì)控制器特定要求

1）隱私權(quán)聲明--組織必須提供隱私政策，其中包含有關(guān)PII收集，使用和處理的特定信息。

2）處理器合同要求--組織必須與處理者簽訂書(shū)面合同，處理特定項(xiàng)目，例如保護(hù)PII，將處理限制為收集PII的特定目的，并提供違反PII的通知。

3）個(gè)人權(quán)利--ISO27701要求組織實(shí)施各種機(jī)制，以容納個(gè)人訪問(wèn)，更正和刪除其PII的權(quán)利，以及反對(duì)或限制PII的處理等。

4）設(shè)計(jì)和默認(rèn)情況下的隱私--組織必須采取措施，通過(guò)設(shè)計(jì)使隱私原則和默認(rèn)情況下的隱私原則付諸實(shí)踐。

ISO27701認(rèn)證對(duì)處理器特定要求

1）加工限制--組織必須僅根據(jù)控制器或處理器的書(shū)面說(shuō)明來(lái)處理PII（取決于客戶的角色）

2）協(xié)助個(gè)人權(quán)利--ISO27701要求加工商采取措施，協(xié)助客戶遵守個(gè)人權(quán)利。

3）轉(zhuǎn)讓和披露--加工商必須提前將司法管轄區(qū)之間的PII轉(zhuǎn)移或其任何預(yù)期變更告知客戶。

4）分包商--ISO27701要求加工商僅根據(jù)客戶合同的條款聘用分包商來(lái)處理PII。

ISO27701認(rèn)證的好處

符合ISO27701認(rèn)證首先要求符合ISO27001的要求。它們旨在相互補(bǔ)充。 遵循ISO27701認(rèn)證要求的組織將創(chuàng)建有關(guān)其如何處理PII的書(shū)面證據(jù)，可用于促進(jìn)與PII的處理相關(guān)的業(yè)務(wù)伙伴的協(xié)議，并闡明組織與其他利益相關(guān)者的PII的處理。 盡管GDPR尚無(wú)認(rèn)可的認(rèn)證方法，但根據(jù)最近的報(bào)道，ISO27701認(rèn)證可能會(huì)在不久的將來(lái)改變這一現(xiàn)狀。

如何實(shí)施ISO27001認(rèn)證？

要求供應(yīng)商代表他們處理和維護(hù)PII的客戶應(yīng)考慮合同規(guī)定這些供應(yīng)商不僅要遵守ISO27001，而且要符合ISO27701，或者在適用于數(shù)據(jù)敏感性的情況下獲得ISO27701標(biāo)準(zhǔn)的認(rèn)證。 即使客戶不要求供應(yīng)商通過(guò)獨(dú)立的第三方認(rèn)證也符合新標(biāo)準(zhǔn)ISO27701認(rèn)證，他們?nèi)钥赡芟Ｍ潞贤源_保供應(yīng)商可以符合ISO27701認(rèn)證的要求。由于ISO27701認(rèn)證仍然非常對(duì)于新合同，賣(mài)方應(yīng)遵守本新標(biāo)準(zhǔn)的規(guī)定合理的時(shí)間延遲，以便將其包括在這些合同中。

已通過(guò)ISO27001認(rèn)證并希望實(shí)施ISO27701要求的組織應(yīng)考慮采取以下步驟：

1）對(duì)現(xiàn)有ISMS進(jìn)行符合ISO27701認(rèn)證要求的差距評(píng)估，并就如何解決這些差距制定行動(dòng)計(jì)劃。

2）對(duì)組織收集的PII進(jìn)行數(shù)據(jù)映射，以了解收集的PII的范圍以及如何使用和與處理器共享。

3）根據(jù)與組織環(huán)境相關(guān)的內(nèi)部或外部因素（例如適用的隱私法規(guī)，法規(guī)，司法決定或合同要求）確定組織作為控制者和/或處理者的角色。

4）查看并更新隱私策略，以確保它們包含必需的信息。

5）制定適用于組織角色的政策和程序。

6）通過(guò)設(shè)計(jì)和默認(rèn)原則開(kāi)始規(guī)劃和實(shí)施隱私。

在世界各地，立法者和監(jiān)管者都在引入新的法律來(lái)規(guī)范數(shù)據(jù)的使用，尤其是PII。 最近，GDPR的出現(xiàn)使許多企業(yè)（包括客戶和供應(yīng)商）爭(zhēng)相達(dá)成合規(guī)性。 不斷變化的法律環(huán)境給所有企業(yè)帶來(lái)了挑戰(zhàn)，尤其是必須遵守多個(gè)司法管轄區(qū)法規(guī)的企業(yè)。 新的ISO27701認(rèn)證標(biāo)準(zhǔn)不會(huì)嘗試單獨(dú)和本地處理每項(xiàng)新法律，而是提供一種統(tǒng)一的方式來(lái)決定，計(jì)劃，實(shí)施和記錄組織在全球范圍內(nèi)的數(shù)據(jù)隱私方法。

無(wú)論組織的規(guī)模大小，是PII的控制者還是處理者，企業(yè)都應(yīng)考慮為自己的組織或向供應(yīng)商要求獲得ISO27701認(rèn)證。 對(duì)于處理敏感或大量PII的處理器，子處理器和聯(lián)合控制器尤其如此。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專(zhuān)業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專(zhuān)利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專(zhuān)利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專(zhuān)利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專(zhuān)利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://bqlw.net/zs/202008/ccaa_5929.html