ISO29151认证和ISO27701认证都是个人信息安全体系,企业该如何选择适合自身的认证体系呢?下面简单地介绍一下这两种信息安全体系,能帮助大家进一步了解它们。
ISO 27701是基于IS02700信息安全管理体系标准族,适用于所有类型和规模的组织,包括公共和私营公司、政府机构和非盈利组织,他们是在ISMS中处理PII的控制者或处理者。ISO 29151是基于ISO 29100信息技术安全技术保密框架标准族,适用于所有类型和规模的作为PII控制者的组织,包括处理PII的公共和私营公司、政府机构和非盈利组织。
ISO 27701 源自 ISO/IEC 27552,为建立、实现、维护和持续改进隐私信息管理系统 (PIMS) 提供具体要求和指南,令 PIMS 作为 ISO 27001 中定义的灵活信息安全管理系统 (ISMS) 的扩展,在信息安全的基础上将处理 PII 所需的隐私保护纳入考虑。与现有 ISO 标准 ISO 27701 补充类似,该新 ISO 标准可能成为组织机构保护个人可识别信息 (PII) 的事实标准,且可能用于证明包括《通用数据保护条例》(EU) 2016/679 (GDPR) 在内的全球隐私合规。对安全合规而言,该新标准相当于锦上添花。
ISO29151认证建立了控制目标,控制措施和实施控制措施的指南,以满足与保护个人可识别信息安全有关的风险和影响评估所确定的要求。ISO29151认证进一步指定 了基于ISO27002的准则,重点是与PII保护相关的控制。IS029151标准认证适用于PII控制器,并创建了满足与PII相关的风险和影响评估所确定的行为准则,从而完善了ISO29100 (隐私框架)和IS029134 (隐私影响评估)创建的框架。