客服热线:
手机版
二维码
什么组织一般需要ISO/IEC27701标准
假如只是从单一的数据处理场景来看,对组织的角色并不难界定。然而现在各行各业都在发展“生态圈,“生态圈越普及,则不同组织间合作处理个人信息的场景也越趋复杂,许多企业事实上在不同的业务场景下同时扮演了多个角色,因此1个组织到底是Controller还是ProCEssor,应当取决于具体的业务场景。
ISO/IEC 27701标准的最大亮点之一,就是通过对“顾客的定义,解释清楚了在不同的业务场景下,不同组织之间的合作关系与责任边界。 基于组织的角色,“顾客一词可被理解为:
a)与PII控制者签订合同的组织(例如PII控制者的顾客): 这能够是1个组织作为联合控制者的场景; 与1个组织构成“企业对消费者关系的个人,即“PII主体。
b)与PII处理者(例如PII处理者的顾客)签订合同的PII控制者;
c)与PII分包处理者(例如PII分包处理者的顾客)签订合同的PII处理者。
其中: 假如是第6章(同时适用于所有Controller和Processor)提到的“顾客,相关条款适用于a)、b)、c)的场景。
假如是第7章和附录A(适用于所有Controller)中提到“顾客,相关条款适用于a)的场景。
假如是第8章和附录B(适用于所有Processor)中提到“顾客,相关条款适用于b)和c)的场景。
标准中的上述定义能够协助企业更好的理解不同组织间的关系: 作为PII控制者时,就应当对PII主体负责,承担隐私保护的责任。 PII处理者受PII控制者委托而处理PII,控制者要确保隐私保护要求传达给处理者,处理者因此要向控制者负责(类似关系也存在于PII处理者与PII分包处理者之间)。 而PII联合控制者之间务必要基于PII采集范围和处理目的来决定各方的共担责任,以及非共担责任的边界。这一点也是当今互联网生态圈世界里最为纷繁复杂的一面,尤其在最近热议的“SDK乱象话题中,怎样处理好各控制者之间的责任边界,并向PII主体作出透明化展示和承诺,就是1个必须进1步澄清甚至必须标准化的问题。
什么组织一般需要建立信息安全管理体系
问题解答:
ISO27001中明确指出,标准中规定的要求是通用的,适用于所有的组织(商业企业、政府机构、非赢利组织),无论其类型、规模大小和业务性质怎样。
ISO27001从组织的整体业务风险的角度,为建立、实施、运行监视、评审、保持和改进文件化的信息安全管理体系规定了要求。ISO27001标准规定了为适应不同组织或其部门的必须而制定的安全控制措施的实施要求。
ISO27001能够作为评估组织满足顾客、组织本身以及法律法规所明确的信息安全要求的能力的依据,无论是自我评估还是独立第三方认证。
就目前国内发展来看,最先明确实施ISMS并考虑接受ISO27001认证的组织,其驱动力都比较明显,这种驱动力能够是外部的,也能够是发自内部的。这些组织主要集中在以下几个行业:
半导体行业:尤其是主业为集成电路芯片制造的组织。由于国内最近几年IC产业发展迅猛,大量国外设计企业的制造订单都飞往国内一些大型的芯片制造企业,鉴于IP(知识产权)保护的重要性,来自国外顾客的明确要求,使得国内芯片制造企业必须在信息安全管理方面做出保证,ISO27001证书就是最好的选择。
软件定制行业:情况与芯片制造企业类似,近些年,承担软件定制开发的许多企业,也面临外部顾客明确提出的信息保护的要求,特别是承接日本、欧美等国外软件定制订单业务的大型软件企业。
金融业和保险业:一直以来,金融和保险行业对信息安全的重视都是非常高的,保护顾客信息、保证业务运行的可靠性和持续性,这都是此行业组织实施ISMS并寻求认证的驱动力。加之金融和保险早些年已经陆续完成了信息基础设施的建设,今后的工作重点将逐渐向全面的信息安全管理方向发展。
通讯行业:特别是一些大型的通信设备提供商,由于牵涉到对自身核心技术的保护,对信息安全加以重视并全面实施信息安全管理体系就成了这些企业必然的选择。
其他行业:只要是牵涉到IP保护的、牵涉到行业规范和法律法规要求的、牵涉到自身发展需求的,组织都会逐渐在信息安全建设上加强力度,就拿美国Sarbanes-Oxley 法案(萨班斯法案,简称SOX法案)而言,由于对在SEC申请注册的上市公司提出了内部控制审核的要求,相关组织必然会在信息安全方面投入关注,由于信息安全控制是企业内部控制必不可少的1个部分。
ISO27001标准所规定的要求是通用的,旨在适用于各种类型、不同规模和业务性质的组织。组织在声明符合ISO27001标准时,对于第 4.信息安全管理体系、5.管理职责、6.ISMS内部审核、7.ISMS管理评审和8.改进条款的内容不能删减。
假如组织删减了4、5、6、7、8条款内容,则不得宣称符合ISO27001标准。
需证明任何控制的删减满足风险接受的准则。应提供证据证明相关风险已被大多数人适当接受。除非删减不影响组织满足风险评估和适用法律要求的信息安全的能力和责任,否则不能声称符合ISO27001标准。
