ISO27701认证与ISO29151体系认证区别,ISO27701是什么企业申请带来的好处有哪些-企业易

ISO27701认证与ISO29151体系认证区别,ISO27701是什么企业申请带来的好处有哪些

2024-06-24 20:28:49

很多企业对ISO27701认证与ISO29151体系认证区别,ISO27701是什么企业申请带来的好处有哪些都不是很了解,今天企业易就为大家简单介绍一下ISO27701认证与ISO29151体系认证区别,ISO27701是什么企业申请带来的好处有哪些,希望大家能对ISO27701认证与ISO29151体系认证区别,ISO27701是什么企业申请带来的好处有哪些有一个深入的了解.如果对ISO27701认证与ISO29151体系认证区别,ISO27701是什么企业申请带来的好处有哪些还有疑问,可查看更多内容.

ISO27701认证与ISO29151体系认证区别

2020年2月8日，浅谈《ISO/IEC 29151:2017 个人身份信息保护实践指南》和《ISO/IEC 27701:2019安全技术-扩展的ISO/IEC 27001和ISO/IEC 27002-隐私信息管理要求和指南》的区别，同是ISO标准委员会颁布的指导组织实现隐私安全的国际标准，两者之间有什么联络呢？

ISO29151与ISO27701区别一：结构不同

ISO27701是ISO27001和ISO27002在隐私方面的扩展，并为隐私保护提供了除ISO 27001和ISO 27002之外的额外指导。标准通过第5章和第6章将ISO 27002与附加的PIMS控制项通过ISO 27001中PDCA的方式导入体系，形成完整的信息安全和隐私管理体系。第7章和第8章从数据生命周期的角度新增分别针对PII控制者和处理者的控制要求。

ISO29151与ISO27701区别二：企业怎样选择

ISO 27701是基于ISO2700信息安全管理体系标准族，适用于所有类型和规模的组织，包含公共和私营公司、政府机构和非盈利组织，他们是在ISMS中处理PII的控制者或处理者。ISO 29151是基于ISO 29100信息技术-安全技术-保密框架标准族，适用于所有类型和规模的作为PII控制者的组织，包含处理PII的公共和私营公司、政府机构和非盈利组织。

ISO29151与ISO27701 区别三：侧重点不同

ISO 27701是ISO 27001和ISO 27002的延伸,侧重于隐私信息安全管理。ISO 27701分别对个人可识别信息控制者和个人可识别信息处理者进行规范和指导并基于ISO 27001和ISO 27002的各个领域，从管理体系的角度并遵循PDCA的理念。

两者存在的差异使得ISO 27701认证和ISO 29151认证不可相互替代，企业可根据具体情况进行选择。

ISO27701是什么企业申请带来的好处有哪些

为更好地理解新标准，需要弄清两个关键术语：控制者和处理者。这两个术语在很多隐私法律和规定中都能见到，包括 GDPR。通常，“控制者” 是指示为什么要收集和处理 PII 的实体，“处理者” 是代表该控制者负责处理此数据的另一个法律实体（非员工）。

新发布的标准适用于 PII 控制者（及联合控制者）和处理者（包括下级处理者），无论其运营的行业和司法辖区，也包括到 GDPR 和 SO/IEC 29100、ISO/IEC 27018 及 ISO/IEC 29151 安全框架的映射。预计 ISO 27701 要求还将映射到其他隐私法律，如《2018 加州消费者隐私法案》(CCPA)、《金融服务现代化法案》(GLBA) 和《健康保险流通与责任法案》(HIPAA) 等，通过提供通用的合规标准帮助组织机构更好地符合这些监管要求。

下面我们就就来看看适用于控制者和处理者的关键 ISO 27701 要求。

适用于控制者和处理者的要求

保密性：经授权访问 PII 的个人必须履行保密协议。
分析风险：必须进行隐私风险评估以识别 PII 处理风险。
监管：组织机构必须指定负责开发、实现、维护和监视其治理及隐私项目的个人。
培训：可以访问 PII 的人员需经过隐私意识培训。
内部过程：组织机构必须为应对 PII 泄露事件而采纳各种策略和规程，比如事件响应计划。
记录保存：ISO 27701 要求组织机构保留所有 PII 处理活动的记录，包括 PII 在司法辖区间转移和向第三方披露等。

特定于控制者的要求

隐私通告：组织机构必须提供包含 PII 收集、使用和处理相关具体信息的隐私政策。
处理者合同要求：组织机构必须与其处理者签订书面合同，约定具体事项，比如保护 PII、限制处理操作仅可在 PII 特定用途范围内，以及提供 PII 泄露通报。
个人权益：ISO 27701 要求组织机构实现各种机制，赋予个人访问、修改和删除其 PII，以及反对或限制 PII 处理等权益。
设计隐私与默认隐私：组织机构必须采取措施实现设计隐私和默认隐私原则。

特定于处理者的要求

处理限制：组织机构必须仅按控制者或处理者（取决于客户的角色）的说明处理 PII。
辅助个人权益：ISO 27701 要求处理者实现帮助客户遵从个人权益的种种措施。
转移与披露：处理者必须于 PII 在司法辖区间转移或任何预期变化发生前通告客户。
分包商：ISO 27701 要求处理者仅可雇佣一家分包商按照客户合同的条款处理 PII。

ISO 27701的好处

ISO 27701 合规首先要求 ISO 27001 合规。二者互为补充。遵从 ISO 27701 要求的组织机构会留下其 PII 处理方式的书面证据，可用于推动与商业合作伙伴就 PII 处理问题签订协议，明确该组织机构与其他利益相关者间的 PII 处理方式。尽管 GDPR 尚未确立官方认证方法，近期报告表明，ISO 27701 或可在近期改变这一现状。

客户若想雇佣供应商代表自己处理和维护 PII，应考虑以合同的形式要求这些供应商不仅遵从 ISO 27001，还要遵从 ISO 27701，或者在数据敏感度适用的情况下取得符合该标准的认证。即使客户不要求供应商经过独立第三方的新标准合规认证，可能也想要更新合同，确保供应商能够符合 ISO 27701 的要求。鉴于 ISO 27701 才刚发布，合同中也可写入供应商符合新标准要求的合理时延。