想了解更多精彩内容,快来关注上海奔烁咨询www.shbsfw.com
ISO/IEC 27701是国际标准化组织发布的隐私信息管理体系标准,全称《安全技术—扩展ISO/IEC 27001和ISO/IEC 27002的隐私信息管理—要求与指南》。
该标准基于PII相关组织和利益相关方要求;明确隐私影响评估的要求;针对组织作为PII控制者/PII处理者等组织角色,形成PIMS(隐私信息管理体系)。
该标准适用于所有类型和规模的组织,包括公共和私营公司、政府机构和非盈利组织。
产生背景
2018年欧盟GDPR生效,就提出了以第三方认证作为数据(特别是个人数据)传输的基础,但并未明确采信哪个标准。实际上包括GDPR在内,各国与隐私相关的法律不尽相同,加州法案,以及澳大利亚或日本等国家都有自己的法律,我国的《个人信息保护法》也于11月1日生效。因此,当前急需一种国际通行的隐私管理标准。
2021年,欧盟对第三方认证的要求做出了司法解释,其采信的第三方认证需由监管机构认可或国家认可机构认可。国家认可机构认可制度实际是IAF国际认可论坛围绕ISO相关标准确立的认可机制。ISO27701标准的推出,很大程度上可以满足各国相关隐私保护法律法规的要求。
国际和国内关于隐私保护的主要法律法规
国内与隐私保护相关的法律法规包括:《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》等。
国际上与隐私保护相关的法律法规包括a美国:《隐私权法》、《电子通讯隐私法》、《金融服务现代化法案》、《儿童在线隐私权保护法案》、《健康保险携带和责任法》和《有效保护隐私权的自律规范》等;b欧盟:GDPR、《关于在个人数据处理过程中保护当事人及此类数据自由流通的指令》等;c日本:《个人信息保护法》等;d加拿大:《隐私法》和《个人信息保护与电子文件法》等;e国际交流:OECD《关于保护隐私和个人数据国际流通的指南》和《APEC隐私保护框架》等。
一、IS027701认证目标
通过PIMS的扩展以及与隐私相关的控制来增强现有的信息安全管理体系(ISMS),简化复杂的重叠隐私法的管理,创建一个以证据为基础的隐私计划,并通过公认的认证形式表明该计划的合规性,并作为潜在的GDPR合规性的基础。现在发布的ISO27701认证标准还实现了其他一些目的。一方面,它充当PIMS与ISMS或ISO27001之间关系和连接的概述。它还详述了所需的功能,并列出了PIMS数据处理器和控制器的隐私控制。在更大范围内,ISO27701认证将信息隐私要求映射到相关的ISO标准和GDPR。
二、ISO27701认证要求
ISO/IEC 27701:2019是国际标准化组织(ISO)和国际电工委员会(IEC)在ISO/IEC 27001和ISO/IEC 27002的基础上联合发布的首部针对隐私信息管理的国际标准,该标准于2019年8月发布,其对隐私信息管理体系的建立、运行、维护和完善做出了相关的细化要求,提供了国际通用的隐私管理合规实践,帮助企业构建多维度的信息安全和个人信息保护管理体系要求主要包括:
1.收集与处理
识别处理目的与处理的法律依据;明确获取同意的方式、时间,并留存相应记录;进行隐私影响评估。
2.广告营销
在未事先征得个人信息主体同意的前提下,不会将个人信息用于广告营销。
3.处理义务
确定并记录对个人信息主体所履行的法定义务和商业道德义务,并提供履行这些义务的方法;积极响应用户的修改权、撤回同意权、拒绝权、删除权、访问权等个人信息权利并留存相应记录。
4.默认的隐私保护
确保流程和系统的设计能够使个人信息的收集和处理(包括使用、披露、存储、传输和删除)仅限于最小必要范围,并留存相关记录。
5.共享转移
识别是否存在共享、转移、披露、跨境传输个人信息的情形,并记录具体行为。
6.合同约定
签署的书面合同应约定个人信息保护的相关措施,例如操作权限控制、个人信息泄露报告等。
7.员工培训
可访问个人信息的员工应签署保密协议,并参与隐私保护与数据安全培训。
8.整体规划
识别相关方的需求及期待,并明确管理体系的范围;确定内部的人员责任及相应的目标与规划;明确具体的运行计划和控制措施,评估并处置风险;内部定期评审并持续完善管理体系。
三、ISO27701认证的好处
该标准为企业和其他组织提供了一个国际通用的隐私信息管理工具,对于降低企业隐私合规难度,便利企业提供合规证明,增强社会各方对企业的信任程度具有重要意义。实施隐私信息管理,至少获得如下收益:
1)合规。通过明确对PII处理者的隐私保护要求,可以明确隐私保护管理合规目标,减轻组织合规负担的同时降低组织合规风险,ISO27701标准附录D中明确表示,单个隐私控制点可以满足GDPR中的多项要求。满足了ISO27701标准也就意味着基本满足GDPR的要求,而GDPR是众多隐私保护法规中最为严格的,也就意味着满足了即将颁布的《隐私保护法》的系列要求。
2)完善数据安全能力和风险管理。实现持续的完善产品的非功能性要求,进而展示出产品在处理个人隐私安全、安全治理的绩效,通过流程分析,在流程的输入、输出、控制过程中,识别、分析、验证隐私保护需求、传递隐私保护价值,减少甚至消除隐私泄露的风险,如:体现为采用隐私控制技术(如日志脱敏、数据库加密)、产品架构(如加密芯片)、技术路径(如完整性校验)等。
3)PIMS认证可以传递信任。客户或合作伙伴,尤其是政府组织、金融机构作为承担隐私风险的机构,通常会要求PII处理者提供相关证据(如PIA分析报告),从而证明PII处理者的产品能符合适用的隐私管理体系要求。通过得到授权的第三方机构对PII处理者进行基于国际标准的审核,可以极大地降低合规沟通成本,这种合规透明度的提高对于组织战略和业务决策至关重要,同时PIMS认证也有助于向公众传达组织的可信度。
四、如何实施ISO27001认证:
要求供应商代表他们处理和维护PII的客户应考虑合同规定这些供应商不仅要遵守ISO27001.而且要符合IS027701,或者在适用于数据敏感性的情况下获得ISO27701标准的认证。即使客户不要求供应商通过独立的第三方认证也符合新标准ISO27701认证,他们仍可能希望更新合同以确保供应商可以符合ISO27701认证的要求。由于ISO27701认证仍然非常对于新合同,卖方应遵守本新标准的规定合理的时间延迟,以便将其包括在这些合同中。
已通过ISO27001认证并希望实施ISO27701要求的组织应考虑采取以下步骤:
1)对现有ISMS进行符合ISO27701认证要求的差距评估,并就如何解决这些差距制定行动计划。
2)对组织收集的PII进行数据映射,以了解收集的II的范围以及如何使用和与处理器共享。
3)根据与组织环境相关的内部或外部因素(例如适用的隐私法规,法规,司法决定或合同要求)确定组织作为控制者和/或处理者的角色。
4)查看并更新隐私策略,以确保它们包含必需的信息。
5)制定适用于组织角色的政策和程序。
6)通过设计和默认原则开始规划和实施隐私。
在世界各地,立法者和监管者都在引入新的法律来规范数据的使用,尤其是PII。最近,GDPR的出现使许多企业(包括客户和供应商)争相达成合规性。不断变化的法律环境给所有企业带来了挑战,尤其是必须遵守多个司法管辖区法规的企业。新的ISO27701认证标准不会尝试单独和本地处理每项新法律,而是提供一种统一的方式来决定,计划,实施和记录组织在全球范围内的数据隐私方法。
认证流程
举报/反馈
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.