Advertisement

ISO/IEC 27701标准解读

阅读量:

ISO/IEC 27701标准正式发布,弥补了现有隐私信息管理体系方面的不足,并将其原则、理念及措施整合进信息安全领域。同时为PII管理者与处理者制定了具体且落地的规范,在实际应用中具有较强的可操作性与指导意义。今天擎标给大家解读一下 ISO27701 标准。

ISO 27701作为信息安全管理体系标准的一部分被包含在 ISO 27000 系列之中,并需满足 ISO 27001 标准的要求。该标准不仅在现有管理流程、实施操作、监控过程以及持续改进 ISMS 的基础上进行了扩展,并且特别关注企业PII(个人可识别信息)的安全保护措施。此外,在解释和扩展 ISO 27002 中的相关隐私性问题时, ISO 27701不仅涵盖了业务连续性之外的所有控制域,还对其中涉及的PII隐私保护措施做出了详细规定.从PII controller 和 PII processor两个角度出发, ISO 27701进一步阐述了收集与处理PII的具体条件,明确了PII主体应承担的权利义务,并详细规定了Privacy by design and Privacy by default原则下应当执行的各项义务.同时,该标准还对PII共享、转移以及披露的相关要求作出了明确规定

ISO 27701在对ISO 27001/27002框架的扩展要求中(或框架中),除了将"信息安全"这一术语取代为"信息安全与隐私"之外(或之外),还增加了相关领域内的具体措施(或具体规定)。

根据第5.4条的要求,在 ISO 27701 的规划框架内, 组织应遵循 P IMS 范围内的信息安全风险评估程序来发现可能导致机密性、完整性和可用性受到影响的因素; 同时, 组织应采用隐私风险管理方案来识别与个人信息保护相关的潜在威胁; 在整个风险管理过程中, 组织需协调信息安全措施与个人信息保护工作以确保两者之间的平衡; 基于其特定的业务需求和技术能力, 组织可以选择将信息安全与隐私保护整合到统一的风险管理体系中; 如果需要, 则可设立独立的风险管理路径分别处理这两方面的问题

根据ISO 27002标准第6.3条的规定,在信息安全组织中应当指派一名专门联系人负责处理客户相关的个人信息事务;如果该组织作为数据 controller,则需被指派一位负责执行相关流程的数据负责人;此外,在该信息安全管理体系下还应当任命若干名负责人来制定、执行并监督内部隐私政策以确保各项数据处理活动均符合合规要求。

负责人应酌情考虑:

  1. 独立地向下级管理层发出指令以确保对隐私风险管理的有效执行。
  2. 负责处理所有涉及个人信息保护(PII)的问题。
  3. 成为在数据保护法律、监管以及实践领域的专家。
  4. 作为监管机构的重要联络节点。
  5. 明确告知高级管理层和组织员工他们在处理个人信息时应遵守的规定。
  6. 关于组织进行的隐私影响评估提供专业建议并确保根据其职责配置专门负责个人信息保护(PII)的专职人员。

ISO 27701标准中第7章和第8章对PII控制者和处理者的评估增加了具体指导,并明确了收集与处理PII相关条件的具体范围。这些新增指导内容旨在使组织能够根据适用司法管辖区的法律依据明确确定PII处理是否合法,并记录下来以确保合法性得到确认。标准要求从8个方面管理与评估PII控制者:包括识别并记录PII处理目的、确定合法依据以及获取相关许可等;同时从6个方面管理与评估PII处理器:包括客户协议、组织目的以及营销等手段,并结合[广告]使用等方式进行管理。这些新增指导要求组织在明确自身身份的基础上开展相关管理建设工作以确保合规性

ISO 27701旨在通过实施有效的隐私保护措施来增强信息安全管理系统的有效性。该标准通过强化企业对数据隐私的关注并促进信息管理系统(ISMS)的完善而被制定出来。为此,《信息安全管理体系标准》(ISO 27701)鼓励组织建立个人信息管理系统(PIMS),以便构建完善的企业隐私管理体系,并从而帮助企业提升整体运营效率

ISO/IEC 27701标准为企业和其他组织提供了全球通用的隐私信息管理工具,并在减少企业遵守隐私合规要求所需复杂性的同时为企业及其提供必要的隐私合规证明文件支持;同时有助于提升社会各相关方对企业 Privacy Protection 承诺的信任度

上海擎标信息科技有限公司(Q-ing.cn)是一家专注于提供科技风险管理和合规内控解决方案的专业咨询机构。公司主要致力于DCMM(数据驱动型敏捷方法)、CMMM(IT治理成熟度模型)、ITSS(信息安全管理体系标准)、A-SPICE(企业信息安全计划编制指南)、CMMI(软件开发过程改进框架)、ISO27001(信息安全管理体系标准)、ISO27701(信息安全服务框架标准)、ISO22301(信息安全管理体系框架标准)、ISO20000(信息安全管理体系标准)以及涉密资质等领域的管理规划、体系建设规划以及工具支持和咨询服务。

全部评论 (0)

还没有任何评论哟~

相关文章推荐

ISO/IEC 27701标准解读

ISO/IEC27701标准的发布,填补了目前隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并且对PII控制者和PII处理者进行了较为详细且落地性强的规定,给企业在隐...

ISO/IEC 27701:2019(隐私信息安全管理扩展要求和指南)解读(二)

结合上回说到,我们讲到了有关于ISO27701的介绍,后面我们来看一下ISO27701(PIMS)总体概览 ISO/IEC27701:2019(PIMS)总体概览 1\.ISO/IEC27701《信息...

ISO/IEC 27701:2019(隐私信息安全管理扩展要求和指南)解读(一)

ISO/IEC27701:2019(隐私信息安全管理扩展要求和指南)解读 目录 1.个人隐私保护体系 2.ISO27701体系关注点 3.ISO27701体系实践 4.ISO27701实施步骤 注:由...

工程中的“通用语言 ISO IEC 81346 标准

ISO/IEC81346是关于《工业系统、装置和设备以及工业产品结构原理和参考代号》的系列标准,发布于2009年。 该标准的第1部分(ISO/IEC813461)定义了一般原则,第2部分(ISO/IE...

iec 61508安全标准_成功符合IEC 61508安全标准

在所有行业中,越来越需要基于计算机的系统或可编程电子系统(PES),以符合安全标准。传统上,这不是趋势,因为以前的系统主要包含电气或电子组件,而不是PES。这些组件通常指定用于安全合规性,而不是整个系...

GQL 来了!ISO/IEC 正式发布 GQL 数据库国际标准!

历时四年筹备,超过20个国家的标准和技术专家参与制定,ISO/IECGQL(图查询语言)标准于2024年4月12日正式发布! 作为国际标准化组织(ISO)继1987年发布SQL后,唯一发布的数据库查询...

IEC 60335标准介绍

IEC60335标准介绍 IEC60335标准是关于《家用和类似用途电器的安全》的标准,一直受到了家电企业行业的关注。2020年IEC603351:2020《家用和类似用途电器的安全第1部分:通用要求...

ISO 26262功能安全标准体系解读(下)

ISO26262功能安全标准体系解读(上)中,我们为大家介绍了:什么是功能安全?功能安全的制定经历了什么样的历程?什么是ISO26262?如何评估ASIL? 通过危害分析和风险评估,我们得出系统或功能...

ISO 26262功能安全标准体系解读(上)

汽车功能安全标准于2011年作为ISO标准正式颁布,此后,汽车业界开始采纳应用该标准。 虽然标准的采纳是自愿的,但在这样的背景和趋势之下,无论是汽车厂商还是零部件供应商,为了满足ISO26262的要求...

ISO/IEC国际标准组织收入的国产密码算法汇总

我国SM2和SM9数字签名算法正式成为ISO/IEC国际标准 发布日期:20171117来源:国家密码管理局 11月3日,在第55次ISO/IEC联合技术委员会信息安全技术分委员会SC27德国柏林会议...