客服热线:
手机版
二维码
ISO/IEC27701标准价值
1、在隐私合规治理和体系架构层面
ISO/IEC27701:2019国际标准的优势在于:
在利益相关方之间提供隐私保护与合规的透明度;
展现企业的数据隐私道德;
有助于增强组织与组织之间、组织与个人之间的信任;
提供更具协作性的方法,协助组织贯彻隐私保护的责任;
通过更有效的业务协议,明确组织与组织之间、组织与个人之间的责任模型;
通过更清晰的角色和职责,落实组织内部的隐私信息管理工作;
通过与ISO/IEC27001 相结合,减少管理体系实施的复杂性。
2、在体系实施的实战层面
ISO/IEC 27701:2019标准的价值在于“集大成,该标准直接沿用或优化了大量ISO/IEC 27018、ISO/IEC 29151条款,又加入了来自GDPR的元素,在ISO/IEC 27701:2019附录中还将本标准与GDPR、ISO/IEC 29100、ISO/IEC 27018及ISO/IEC 29151进行了映射。
然而ISO/IEC 27701:2019并没有尝试去完全覆盖任何一部已有的标准,ISO/IEC 27018、ISO/IEC 29151作为隐私管理方面指南性标准,各有侧重,在某些条款上,与ISO/IEC 27701标准的指南部分形成了互补。针对提供公有云业务的互联网企业仍能够继续参照ISO/IEC 27018进行体系实施,而另一些期望获得更多实施指南的企业则能够继续参照ISO/IEC 29151进行体系实施。
3、在法律符合性层面
ISO/IEC 27701:2019是一部兼顾不同国家地区法规要求的标准,ISO/IEC 27701:2019无法完全符合GDPR作为欧盟法规的细节性要求(例如:发现Data BREACH之后72小时上报监管机构、DPIA评估之后无法有效降低高风险时应在处理前向监管机构咨询等),但在隐私原则、数据主体权利方面,与GDPR几乎是吻合的。
对于面向欧盟顾客(不论是To B还是To C)开展个人数据处理业务的组织,假如希望更好的证明自身对标GDPR的符合程度,ISO/IEC 27701和BS 10012“双证模式是个不错的选择;对于其他面向非欧盟顾客开展个人数据处理业务的组织,认证ISO/IEC 27701是很好的选择。
ISO/IEC27701标准解读
ISO/IEC 27701嵌套在ISO/IEC 27000系列中,并要求符合ISO/IEC 27001标准。ISO/IEC 27701扩展了ISO/IEC 27001的要求,在原有管理、实施、操作、监控、审查和不断改进ISMS的流程基础上,着重考虑了对于企业所持有PII的隐私保护。同时ISO/IEC 27701对ISO/IEC 27002实施指南中的隐私性进行了解释和扩展,除业务连续性以外的所有控制域均增加了关于PII隐私的实施指南。ISO/IEC 27701分别从PII控制者和PII处理者的角度,补充说明了收集和处理PII的条件、对PII主体的隐私保护义务、Privacy by design and privacy by default以及PII共享、转移和披露的相关要求。
ISO/IEC 27701在对ISO/IEC 27001/27002的扩展要求中,除将“信息安全替换为“信息安全和隐私外,同时扩展了相关控制域中的控制项。
ISO/IEC 27701 5.4规划中指出,组织应在PIMS范围内应用信息安全风险评估流程来识别有可能会造成机密性、完整性和可用性丧失的相关风险;组织应在PIMS范围内应用隐私风险评估流程来识别与PII处理相关的风险;组织应在整个风险评估过程中确保信息安全与PII保护之间的关系得到适当管理。组织能够根据自身PIMS情况,对信息安全和隐私保护进行统一流程的综合评估,也能够根据实际必须采用独立的流程进行分别评估。
ISO/IEC 27002 6.3信息安全组织中指出,组织应指定1个联络人处理顾客的相关PII事务;当组织是PII控制者时,需为PII主体指定PII联络人负责相关流程;同时组织应指定一名或多名负责制定、实施、维护和监督组织范围内治理以及隐私计划的人员,以确保处理PII相关事务时的合规性。负责人应酌情考虑
a) 独立并直接向组织的适当管理层报告,以确保有效管理隐私风险
b) 参与管理与处理PII有关的所有问题
c) 成为数据保护立法,监管和实践方面的专家
d) 充当监管机构的联络点
e) 告知顶级管理层和组织员工在处理PII方面的义务
f) 就组织进行的隐私影响评估提供建议。要求组织必须根据自身角色配置响应的PII管理专职人员。
ISO/IEC 27701中第7章和第8章分别对PII控制者和处理者的评估增加了额外指导,包含收集和处理PII的条件等控制域。增加该章节能够明确标准对于PII控制者和处理者收集和处理PII的条件的限定范围,目的是使组织能够根据适用的司法管辖区的法律依据,以明明确义的、合法目的,明确并记录PII处理是合法的,且具有法律依据。标准明确必须通过识别和记录PII处理目的、明确合法依据、明确何时以及怎样获得许可、获取并记录许可、隐私影响评估、与PII处理者签署合同、明确联合PII控制者、维护与处理PII有关的记录8个方面对PII控制者进行管理和评估,通过顾客协议、组织目的、营销和广告使用、侵权指令、顾客义务、与处理PII有关的记录6个方面对PII处理者进行管理和评估。该额外指导内容要求组织在明确自身身份的基础上,开展对收集与处理PII的条件相关的管理建设。
ISO/IEC 27701的目标是通过对于隐私保护的控制实现对ISMS进行补充,使企业建立PIMS,实现有效的隐私管理,从而使企业获益。
1.通过明确对PII控制者和处理者的隐私保护要求,能够使企业明确隐私保护管理合规目标,减轻企业合规负担的同时降低企业合规风险,ISO/IEC 27701标准附件D中明确标明,单个隐私控制点能够满足GDPR中的多项要求。
2.实现持续的个人隐私安全合规对于任何企业都是1个安全治理的课题,ISO/IEC 27701通过建立PIMS,能够确保组织高级管理层、企业所有者以及关键相关方的利益满足隐私保护要求,从而使组织实现长期、持久的个人隐私安全合规。
3.PIMS认证能够向企业顾客或合作伙伴传达隐私合规价值。PII控制者通常会要求PII处理者提供相关证据,从而证明PII处理者的隐私管理体系符合适用的隐私管理要求。通过得到授权的第三方机构对PII处理者进行审计验证,基于国际标准的统一证据框架能够极大地降低合规沟通成本,这种合规透明度的提高对于企业战略和业务决策至关重要,同时PIMS认证也有助于向公众传达企业的可信度。
