ISO/IEC 27701:2019(隐私信息安全管理扩展要求和指南)解读(二)
在上一回中提到,并对ISO 27701的标准体系框架进行了详细阐述的基础上
ISO/IEC 27701:2019(PIMS)总体概览
1. ISO/IEC 27701《信息安全管理体系要求》
信息安全管理体系的核心理念构成了信息安全建设的基础,并采用了PDCA循环方法论作为指导原则,在此框架下为组织构建信息安全管理系统的具体路径提供了清晰的方向。
2. ISO/IEC 27702《信息安全控制实践指南》
作为实施ISO 27001标准的实际操作参考手册,在涵盖了广泛的管理领域和具体措施的基础上,详细指导了如何有效地开展信息技术相关的安全工作,并且强调了这一过程中的最佳实践应用。
在此需要注意的一点在于, ISO 27701体系是在ISO 27001之上构建的, 同时其安全管理体系的要求和相关指南都统一纳入同一个标准之中。
ISO/IEC 27701标准的总体架构
ISO 27001 和 ISO 27002 在隐私保护方面的拓展基于通用要求与指南的基础上,在此基础上增添了针对PINS的具体要求及指南。
ISO 27001 标准正文部分增加了隐私情景分析和隐私影响评估等内容。
ISO 27002 标准增加了 32 项新的控制措施。
Controller 部件新增了 31 项具体的隐私保护要求。
processor 部件新增了 18 项具体的隐私保护要求。
认证 ISO 27701 的前提条件是通过 ISO 27001 的认证,并且可以在同一时间进行验证。
ISO/IEC 27701与ISO27018及ISO29151的区别
该标准的特点是将多项相关标准的精华进行整合;
本标准在很大程度上继承和优化了上述相关(ISO/IEC 27018 和 ISO/IEC 29151)的标准内容;
标准中引入了GDPR的相关元素;
标准附录中描述了与 ISO/IEC 29100、 ISO/IEC 27018 和 ISO/IEC 29151之间的隐含的关系;
作为“指南性”文件,在内容上各部分内容各有侧重,并相互补充;同时该指南并未力求全面覆盖现有相关(如 ISO/ICU)的标准中的任何一个;
最大的区别在于 ISO/IEC 27701 是可认证的标准;而其他文件仅作为指导文件用于体系实施。
在之前的章节中已经详细阐述了ISO27701与其他国际体系之间的关联与互动关系,在此部分中我们主要关注的是具体条款对应的部分,并建议读者通过查阅相关文件来获取详细信息。后续有机会时将对相关内容进行深入分析。进一步探讨其中的角色及其相互作用。
PII相关角色介绍
PII主体:即持有个人信息的自然人;
PII控制者:被指定为决定执行PII处理目的及方法的Privacy Rights parties;
PIE处理者:根据 Privacy Rights control者的指示履行 PIE 处理义务的 Privacy Rights利益相关方;
PIE联合控制者:与一个或多个 Privacy Rights control者共同制定 PIE 处理方案与操作流程的责任方。
关于角色理解可以联系业务进行理解。
To be continued……再会