客服热线:
手机版
二维码
ISO27701标准为处理个人识别信息提供指导
尽管GDPR生效已超过1年,但迄今为止,还没有针对它的认证标准。 Coalfire的David Forman探索了新发布的ISO 27701怎样与GDPR保持一致,以及将其用作GDPR认证标准的可能性和后果。
2019年8月6日,国际标准化组织(ISO)提前5个月发布了ISO / IEC 27701:2019(ISO 27701)标准。 此版本是第1个国际隐私标准; 它概述了实施组织计划(称为隐私信息管理系统(PIMS))以管理对个人身份信息(PII)进行处理的要求。
ISO 27701是第1个引用非ISO实际开发的外部框架或出版物的ISO标准。 在这种情况下,外部参考不过是标题为欧盟通用数据保护条例( GDPR )的标题。 考虑到隐私问题的历史和现状,全球隐私法规,实施以及ISO 27701的当前通过,必须考虑ISO 27701是否能够成为GDPR的认证途径。
要了解该标准对证明遵守隐私规则可能产生的影响,我们必须首先研究自GDPR引入以来监管机构对隐私观点的演变,这在为数据主体权利设定新的基准和解释方面具有变革性。
自2018年5月生效以来,由于人们认为对PII的保护不当或疏忽,违反GDPR的行为对谷歌,FaCEbook,万豪和英国航空等公司造成了巨额罚款。
为了捍卫数据保护机构(希望证明其执行GDPR的能力)所针对的这些早期示例:
假如无法完全减轻风险的定义,那么这些跨国公司怎样获得任何保证,以确保自己已尽力遵守该法律?
现代安全员应该客观地展示什么,以向董事会保证他们具有可接受的保护水平?
假如仍然普遍将安全性和隐私保护误认为是同一控制活动的输出,那么数据保护官(DPO)的这一新角色实际上会产生什么影响?
组织已经尝试对GDPR进行进1步的解释和澄清,尽管GDPR第42条明确规定了“认证机制,但仍没有认可的明确合格性的方法(但未阐明)。
随着越来越多的数据保护机构(如国家信息自由委员会(CNIL)和信息专员办公室(ICO))面临压力,要求它们迅速采取调查行动并就GDPR的解释提供评论,CNIL的出现是非常特殊的法国国家数据保护局,在上个月的标准制定会议上在新加坡举行的技术委员会中派代表参加了会议,探讨了ISO 27701的最终修订和发布。
在检查会议记录时,主要探讨重点是通过重新编号国际标准并将这些新要求映射到GDPR来推动PIMS的快速采用。 技术委员会能够(也许很方便)使GDPR中的所有条款与ISO 27701保持一致,但第43条除外,该条款详细规定了为GDPR提供认证的机构或各种认证计划的要求,以确保标准审核员保持某种形式的统一。
尽管ISO 27701尚不受英国认证服务局(UKAS)或ANSI国家认证委员会(ANAB)等认证公司的监管,但尽管未定义既定的计划,但预计认证公司将开始根据这一新的国际标准进行审核在国际认证论坛(IAF)级别。
在许多方面,该认证机制已经过时,由于定义该计划的法律已经生效了1年多。 假如通过任何数据保护机构的认可,PIMS成为“ GDPR认证的代名词,组织将最终拥有一种方法,能够通过第三方审核客观地证明其符合性。
除此之外,通过定期独立检查的经认证合规计划,将对该行业产生许多下游影响,包含在GDPR相关调查中提供更好的辩护; 对隐私法,产品和技术支持进行更详尽的说明; 以及更多客观信息,供保险承保人明确风险。
这项新标准是对与隐私相关的风险进行持续管理的重要里程碑,并且是随着组织环境的发展而提倡成熟流程的替代规范性参考。 由于现有认可要求与那些在GDPR中提供认证的机构详细规定的条款重叠,因此合格评定机构可能会被利用于对该新标准进行立即审核和评估。
ISO27701的六个附录内容
该标准的结构按条款细分,其中每个条款都提供以下附加要求或实施指南:
1)对ISMS的必要修改(第5条),
2)附加信息安全控件(第6条),
3)PII控制器的附加控件(条款7)
4)用于PII处理器的其他控件(条款8)。
该标准还包含六个附录,涵盖:
ISO27701附录A – 充当PII控制者的组织的PIMS特定控制目标和控制
ISO27701附录B – 充当PII处理者的组织的PIMS特定控制目标和控制
ISO27701附录C – 映射到ISO / IEC 29100
ISO27701附录D – ISO27701中的控件到欧盟通用数据保护条例(GDPR)的映射
ISO27701附录E – 映射到ISO / IEC 27018和ISO / IEC 29151
ISO27701附录F – 关于在处理PII时怎样将ISO / IEC 27001和ISO / IEC 27002扩展到隐私保护的说明。
