ISO27701的诞生:
网络大数据时代的到来,为我们带来巨大的便利,但随着大数据在各个领域的渗透逐渐加深,个人隐私泄露的风险也愈加严重。针对二十一实际时代主题转向信息化, 于是欧盟于2018年5月25日正式实施了《通用数据保护条例》 (《General Data Protection Regulation》,简称《GDPR》),是一项保护欧盟公民个人隐私和数据的法律,其适用范围包括欧盟成员国境内企业的个人数据、也包括欧盟境外企业处理欧盟公民的个人数据。
在美国,针对大数据时代,已有多个州先在数据安全与隐私保护进行了立法,其中最著名的要数2018年6月加州通过《加州消费者隐私法案》( 《California Consumer Privacy Act》, 简称《CCPA》)。该法案被称为美国“最严厉和最全面的个人隐私保护法案”,将于2020年1月1日生效。
在我国,于2017年6月1日正式实施《中华人民共和国网络安全法》(通常简称《网安法》)。《网安法》是我国首部全面规范网络空间安全管理方面问题的基础性法律,包含的内容十分丰富,一共包括7章79条,包含网络运行安全、关键信息基础设施的运行安全、网络信息安全等内容。值得关注的是,《网安法》在数据(包括个人信息)安全与保护上也有诸多规定,例如第四十至四十五条。
同时,ISO标准委员会也以ISO 27001为基准,以ISO 27552为蓝本,建立了ISO 27701标准。ISO27701体系建立的目的是帮助客户降低个人隐私、组织的隐私和数据泄露的风险。与此同时,ISO27701可以帮助客户最大化IT治理过程,提升客户信任、满意度和品牌声誉。
目前,隐私信息管理体系(PIMS)是信息安全管理体系(ISMS)的扩展,PIMS可以与ISMS一起进行结合认证,也适用于正在运行信息安全管理体系的组织。
ISO/IEC 27701 提供与ISO 27001相关的隐私管理要求;
ISO/IEC 27701 提供对PII控制者和处理者的额外的 ISO 27002指导内容;
ISO/IEC 27701 提供对 PII控制者与处理者的控制目标和控制措施;
ISO/IEC 27701 提供与ISO29100、GDPR、ISO27018及ISO29151的对应关系;
以及如何将ISO/IEC 27701应用到ISO27001和ISO27002
a) ISO 27701是ISO 27001和ISO 27002在隐私方面的扩展。
b) ISO 27002为ISO 27001提供风险处置具体的控制目标和控制措施。
c) ISO 29100、ISO 27018、ISO 29151均为隐私方面的标准,有不同的侧重点,与ISO 27701互为补充。
d) ISO 27001帮助企业建立ISMS,通过有效的风险管理来保护和管理组织的所有信息,从数据安全方面满足GDPR的部分要求。
e) ISO 27701加入了隐私保护的额外要求,更全面地覆盖了GDPR的要求。
伴随着数字时代的到来,数字化信息处理日趋普遍。对于PII处理而言,人们在享受数字化所带来的诸多便利同时,也面临着由PII数字化所带来的风险。信息数字化在企业发展过程中对节约企业成本和达到有效管理起到了积极的作用,另一方面,伴随着全球信息化和网络进程的发展,与此相关的个人隐私保护和信息安全问题也日趋严重。
《ISO/IEC 27701,安全技术-扩展的ISO/IEC 27001和ISO/IEC 27002-隐私信息管理要求和指南》的发布,填补了目前隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并且对PII控制者和PII处理者进行了较为详细且落地性强的规定,细化了隐私信息管理的要求,给企业在隐私保护和信息安全方面给出了指导建议。作为一个国际通用的隐私信息管理工具,能够有效的协助企业对对隐私风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平,并建立隐私保护体系,从管理与技术等多方面出发,从而使企业满足国内外的监管合规要求。同时,隐私信息管理体系的建设,一定程度上也是企业隐私保护能力的一种体现,能够增强企业与消费者、合作伙伴甚至是监管部门的相互信任。
想要了解更多认证咨询,请联系擎标在线客服,我们随时为您解答!