客服热线:
手机版
二维码
ISO27701标准认证实施流程
第一阶段:ISO 27701项目计划和组织调研
首先,我们将制定具有定义的角色和职责的详细ISO 27701项目计划,章程和报告流程,以便您知道在实施过程中谁将在何时何地做什么。 除此之外,我们将对您的组织,您的业务以及您现有的IT安全和隐私操作有1个全面的了解,从而为我们的程序开发奠定基础。
第二阶段:ISO 27701隐私风险评估
假如您遇到安全或隐私事件,我们将详细了解您的信息资产以及这些资产的机密性,完整性和可用性的损失所带来的影响。 我们将彻底识别,分析和评估您的每项资产,其次根据您的独特情况制定新的风险应对计划。
第三阶段:ISO 27701体系建立
我们将开发并建立适当的信息安全和隐私治理程序,该程序应牢记组织中涉及安全性的多个利益相关者层。 我们还将制定必要的政策,程序和内部审查,以维持新的合规性安全和隐私状态。
第四阶段:ISO 27701培训和实施支持
我们将弥合您的新安全性和隐私控制与其日常部署之间的差距。 我们将为您的人员(包含您的最终用户,IT用户和高级管理人员)提供最重要的安全和隐私风险来源培训,教育并提供动手实施支持。
第五阶段:ISO 27701内部审核
在将您的组织提交审核以前,我们的独立顾问将按照标准进行全面的认证前审核,以确保您在寻求正式认证时不会感到意外。
第六阶段:ISO 27701:2019认证审核
最后,我们将指导您完成ISO认证过程。 假如您尚未获得基本的ISO 27001认证,那么我们会将其要求整合到您的ISO 27701:2019约定中。 一旦您准备好获得ISO 27701:2019认证,我们也将指导您完成该过程。 我们将协调审核活动,审查文档并采取任何必要的最终措施以确保您达到并保持ISO 27701:2019的合规性。
ISO27701标准为处理个人识别信息提供指导
尽管GDPR生效已超过1年,但迄今为止,还没有针对它的认证标准。 Coalfire的David Forman探索了新发布的ISO 27701怎样与GDPR保持一致,以及将其用作GDPR认证标准的可能性和后果。
2019年8月6日,国际标准化组织(ISO)提前5个月发布了ISO / IEC 27701:2019(ISO 27701)标准。 此版本是第1个国际隐私标准; 它概述了实施组织计划(称为隐私信息管理系统(PIMS))以管理对个人身份信息(PII)进行处理的要求。
ISO 27701是第1个引用非ISO实际开发的外部框架或出版物的ISO标准。 在这种情况下,外部参考不过是标题为欧盟通用数据保护条例( GDPR )的标题。 考虑到隐私问题的历史和现状,全球隐私法规,实施以及ISO 27701的当前通过,必须考虑ISO 27701是否能够成为GDPR的认证途径。
要了解该标准对证明遵守隐私规则可能产生的影响,我们必须首先研究自GDPR引入以来监管机构对隐私观点的演变,这在为数据主体权利设定新的基准和解释方面具有变革性。
自2018年5月生效以来,由于人们认为对PII的保护不当或疏忽,违反GDPR的行为对谷歌,FaCEbook,万豪和英国航空等公司造成了巨额罚款。
为了捍卫数据保护机构(希望证明其执行GDPR的能力)所针对的这些早期示例:
假如无法完全减轻风险的定义,那么这些跨国公司怎样获得任何保证,以确保自己已尽力遵守该法律?
现代安全员应该客观地展示什么,以向董事会保证他们具有可接受的保护水平?
假如仍然普遍将安全性和隐私保护误认为是同一控制活动的输出,那么数据保护官(DPO)的这一新角色实际上会产生什么影响?
组织已经尝试对GDPR进行进1步的解释和澄清,尽管GDPR第42条明确规定了“认证机制,但仍没有认可的明确合格性的方法(但未阐明)。
随着越来越多的数据保护机构(如国家信息自由委员会(CNIL)和信息专员办公室(ICO))面临压力,要求它们迅速采取调查行动并就GDPR的解释提供评论,CNIL的出现是非常特殊的法国国家数据保护局,在上个月的标准制定会议上在新加坡举行的技术委员会中派代表参加了会议,探讨了ISO 27701的最终修订和发布。
在检查会议记录时,主要探讨重点是通过重新编号国际标准并将这些新要求映射到GDPR来推动PIMS的快速采用。 技术委员会能够(也许很方便)使GDPR中的所有条款与ISO 27701保持一致,但第43条除外,该条款详细规定了为GDPR提供认证的机构或各种认证计划的要求,以确保标准审核员保持某种形式的统一。
尽管ISO 27701尚不受英国认证服务局(UKAS)或ANSI国家认证委员会(ANAB)等认证公司的监管,但尽管未定义既定的计划,但预计认证公司将开始根据这一新的国际标准进行审核在国际认证论坛(IAF)级别。
在许多方面,该认证机制已经过时,由于定义该计划的法律已经生效了1年多。 假如通过任何数据保护机构的认可,PIMS成为“ GDPR认证的代名词,组织将最终拥有一种方法,能够通过第三方审核客观地证明其符合性。
除此之外,通过定期独立检查的经认证合规计划,将对该行业产生许多下游影响,包含在GDPR相关调查中提供更好的辩护; 对隐私法,产品和技术支持进行更详尽的说明; 以及更多客观信息,供保险承保人明确风险。
这项新标准是对与隐私相关的风险进行持续管理的重要里程碑,并且是随着组织环境的发展而提倡成熟流程的替代规范性参考。 由于现有认可要求与那些在GDPR中提供认证的机构详细规定的条款重叠,因此合格评定机构可能会被利用于对该新标准进行立即审核和评估。
