关于ISO27701,你想知道的都在这里
2021-11-19
914
Q:ISO27701是什么?
A:ISO/IEC 27701是国际标准化组织发布的隐私信息管理体系标准,全称《安全技术—扩展ISO/IEC 27001和ISO/IEC 27002的隐私信息管理—要求与指南》。
该标准基于PII相关组织和利益相关方要求;明确隐私影响评估的要求;针对组织作为PII控制者/PII处理者等组织角色,形成PIMS(隐私信息管理体系)。
该标准适用于所有类型和规模的组织,包括公共和私营公司、政府机构和非盈利组织。
Q:ISO27701产生的背景是什么?
A:2018年欧盟GDPR生效,就提出了以第三方认证作为数据(特别是个人数据)传输的基础,但并未明确采信哪个标准。实际上包括GDPR在内,各国与隐私相关的法律不尽相同,加州法案,以及澳大利亚或日本等国家都有自己的法律,我国的《个人信息保护法》也于11月1日生效。因此,当前急需一种国际通行的隐私管理标准。
2021年,欧盟对第三方认证的要求做出了司法解释,其采信的第三方认证需由监管机构认可或国家认可机构认可。国家认可机构认可制度实际是IAF国际认可论坛围绕ISO相关标准确立的认可机制。ISO27701标准的推出,很大程度上可以满足各国相关隐私保护法律法规的要求。
Q:国际和国内关于隐私保护的主要法律法规有哪些?
A:国内与隐私保护相关的法律法规包括:《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》等。
国际上与隐私保护相关的法律法规包括a美国:《隐私权法》、《电子通讯隐私法》、《金融服务现代化法案》、《儿童在线隐私权保护法案》、《健康保险携带和责任法》和《有效保护隐私权的自律规范》等;b欧盟:GDPR、《关于在个人数据处理过程中保护当事人及此类数据自由流通的指令》等;c日本:《个人信息保护法》等;d加拿大:《隐私法》和《个人信息保护与电子文件法》等;e国际交流:OECD《关于保护隐私和个人数据国际流通的指南》和《APEC隐私保护框架》等。
Q:ISO27701与其他标准的关系如何?
A:ISO/IEC 27701的框架基于ISO/IEC 27001,同样遵循了ISO的管理体系标准高层结构HLS,故与其它ISO标准有良好的兼容性,便于组织实施整合的管理体系。同时,作为ISO标准中尾数为01的要求类标准,其有助于构建持续改进的管理框架。
Q:ISO27701认证的核心术语PII、PII控制者和PII处理者是什么含义?
A:PII:个人可识别信息 Personally identifiable information (PII)
注:也译作个人身份信息
(a) 可用于识别此类信息相关的 PII 主体的任何信息;
(b) 直接或间接链接到 PII 主体的信息;
PII控制者:确定处理个人可识别信息 (PII) 的目的和手段隐私利益相关者(或隐私利益相关者们),但不包括出于个人目的使用数据的自然人;
PII处理者:代表并按照 PII 控制者的说明处理个人可识别信息 (PII) 的隐私利益相关者。
Q:ISO27701认证适合于哪些组织?
A:ISO/IEC 27701适用于所有组织,无论其规模、行业或业务性质如何。
Q:实施ISO27701认证有什么价值?
A:隐私信息管理体系提供了一套一致的隐私实践(即控制),可以根据任何隐私法进行映射。实施ISO27701可以提高组织管理数据安全和隐私风险的能力,同时减轻组织合规负担、降低组织合规风险,帮助企业提供尽职证明,传达可信度,获得更多业务机会。
Q:组织申请ISO27701有什么前提?
A:正式认证前,组织应已建立同时满足ISO/IEC27001标准的信息安全管理体系及ISO/IEC 27701标准的隐私信息管理体系,且体系运行时间需不少于三个月。
Q:ISO27701标准的架构如何?
A:ISO/IEC 27701标准第1章到至第4章,给出了标准的范围、引用文件、术语和定义以及总则。
标准管理要求分布在第5章至第8章,其中第5章为ISO/IEC 27001的要求关于PII相关的扩展,第6章为ISO/IEC 27002的要求关于PII相关的扩展,第7章为针对PII控制者角色的管理要求,第8章为针对PII处理者角色的管理要求。
附录A-F给出了特定的控制目标与控制措施以及与其他标准和法规的映射关系。
Q:实施ISO27701需要组织的哪些部门参与?
A:实施ISO/IEC 27701至少需要组织业务部门、技术研发部门、客户服务部门、信息安全部门和法务部门参与。
Q:组织实施ISO27701的步骤有哪些?
A:实施ISO/IEC 27701的步骤包括风险评估、隐私影响分析、内审及管理评审。
Q:ISO27701认证有哪些流程,初次获证一般需要多长时间?
A:ISO/IEC 27701的认证流程与ISO/IEC 27001保持一致,分为一阶段审核及二阶段审核,认证项目的周期由一阶段审核进场至证书发出约为四周。
Q:企业获得ISO27701证书后如何维持证书有效性?
A:维持ISO/IEC 27701证书的的有效性需接受每年一次的监督审核,每次监督审核之间的时间间隔不超过12个月,自获证后的第三年为再认证审核,换发新的认证证书。
Q:擎标在ISO27701实施有什么优势?
A:擎标是国内隐私安全合规咨询领域的早期参与者,于2019年10月为上海医药临床研究中心获得全球第二张ISO27701隐私信息管理体系认证证书,发布了首个基于ISO/IEC 29151:2017的中文译著,并于2018年11月为太平洋保险(集团)公司获得国内首张ISO29151个人身份信息保护实践指南认证证书;于2019年12月为中国电信天翼云获得了全国首张ISO27040存储安全标准认证证书。