2020-05-14 来源:杭州佳普
面对愈加严格的监管趋势和众多且复杂的法律法规, 企业如何有效的管理和保护用户个人信息及隐私?
在如今的数字化时代,各种类型的组织都不可避免地处理着个人信息,信息数量不断增 多,信息类型愈趋复杂,其中不乏非常敏感的个人隐私。与此同时,随着行业内甚至跨行业 的“生态圈”概念越来越普及,不同组织间合作处理个人信息的情况也在增多,与之伴随的 数据泄露、数据滥用的风险与日俱增。在这样一个背景之下,保护个人隐私不再仅仅是个人 诉求或是社会需求,也成为全球范围内最重要的法律法规议题之一。
ISO/IEC27701:2019等国际标准,针对涉及个人数据处理的各种类型(不论是否盈利性组织,不论规模大小)的组织,提供一整套框架,这套框架有助于从组织治理、法律合规、客户关系、风险管理、流程规范员工意识、信息技术、监督审计等多个维度,落实各类型组织的个人信息保护的责任。如何让这套框架体系得以有效运行,是所有组织自上而下所有层级的人员都需要高度重视和深度思考的。
ISO 27701是什么?
ISO 27701 源自 ISO/IEC 27552,为建立、实现、维护和持续改进隐私信息管理系统 (PIMS) 提供具体要求和指南,令 PIMS 作为 ISO 27001 中定义的灵活信息安全管理系统 (ISMS) 的扩展,在信息安全的基础上将处理 PII 所需的隐私保护纳入考虑。与 ISO 27001 标准类似, ISO 27701 不期望组织机构在所有情况下采纳每一条控制。相反,该标准要求组织机构理解自身 PII 处理的具体上下文,以适合其处理活动的方式调整特定控制集和与之相关的实现。
ISO27701标准组成
该标准建立在ISO/IEC 27001要求的基础之上,在隐私方面提供了必要的额外要求。规定了建立、实施、维护和持续改进隐私相关所特定的信息安全管理体系的要求。换句话说,就是保护个人信息的管理体系(以下简称PIMS)。ISO/IEC 27701标准的正文由8个条款组成,其中:
条款1-4,给出了标准范围、术语、定义等
条款5给出了ISO 27001相关的PIMS要求
条款6给出了ISO 27002相关的PIMS指南
条款7给出了针对PII控制者的ISO 27002扩展指南
条款8给出了针对PII处理者的ISO 27002扩展指南
附录A,针对PII控制者的PIMS特定的控制目标和控制措施
附录B,针对PII处理者的PIMS特定的控制目标和控制措施
附录C,与ISO/IEC 29100的对应
附录D,与GDPR的对应
附录E,与ISO/IEC 27018和ISO/IEC 29151的对应
附录F,如何在ISO/IEC 27001和ISO/IEC 27002的基础上实施ISO/IEC 27701
ISO/IEC 27701的优点
•在管理个人信息方面建立信任
•在利益相关者之间提供透明度
•促成有效的商业协议
•明确角色和职责
•支持遵守隐私规定
•通过集成领先的信息安全标准ISO/IEC 27001,降低复杂性
ISO/IEC 27701隐私信息管理体系标准作为隐私保护和个人信息管理的ISO国际标准。不仅带来新增的特定隐私要求,以便有效整合现行ISO/IEC 27001信息安全管理体系,未来更是针对隐私保护之特定领域 (PIMS-Specific),以 ISO/IEC 27001延伸认证的方式实施,信息安全管理将与隐私信息管理进行密切整合。
ISO/IEC 27701与ISO/IEC 27001一起使用,无需维护两个管理体系即可形成一个全面的隐私信息管理体系 (PIMS)。因此,ISO/IEC 27701隐私信息管理体系为信息技术行业其个人隐私信息管理提供了良好的保障。