为何要进行ISO27000认证咨询,为何要进行ISO27701认证

为何要进行ISO27000认证咨询

为何要进行ISO27000认证咨询

根据CSI/FBI的Computer Crime and Security Survey2005中的统计， 65%的组织都发生过次信息安全事故，而在这份报告中同时表明有97%的组织部署了防火墙，96%组织部署了杀毒软件。由此可见，我们的信息安全手段的效果并不理想，信息安全现状不容乐观。

实际上，仅有在宏观层次上实施了良好的信息安全管理，即采用国际上公认的最佳实践或规则集，才能使微观层次上的安全，如物理措施等，实现其恰当的作用。采用ISMS标准并得到认证无疑是组织应该考虑的方案之一。

1） 预防信息安全事故，保证组织业务的连续性，使组织的重要信息资产受到与其价值相符的保护，包含防范：

重要的商业秘密信息的泄漏、丢失、篡改和不可用；

重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断；

2） 节省费用。1个好的ISMS不仅可通过避免安全事故而使组织节省费用，并且也能协助组织合理筹划信息安全费用支出，包含：

依据信息资产的风险级别，安排安全控制措施的投资优先级；

对于可接受的信息资产的风险，不投资安全控制；

3) 保持组织良好的竞争力和成功运作的状态，提高在公众中的形象和声誉，最大限度的增加投资回报和商业机会；

4) 增强顾客、合作伙伴等相关方的信任和信心。

今日通过对《为何要进行ISO27000认证咨询》的学习，相信你对认证有更好的认识。假如要办理相关认证，请联络我们吧。

为何要进行ISO27701认证

尽管只能根据ISO 27001要求而不是当前根据ISO 27701来授予认可的认证，可是日益受到监管的安全和隐私格局以及对企业的网络攻击的急剧增加，无论规模大小，都应仅鼓励组织采用国际框架例如ISO 27001和ISO 27701。

独立认可的认证能够支持政府资助项目的竞标，为顾客提供安全实践的证明，并向董事会和监管机构保证，组织将根据此国际框架和其他法律规定对数据隐私负责。

在过去的十年中，隐私和网络安全一直是董事会层面的问题，可是高层承诺仍然是1个挑战。随着具有重大影响的数据保护法律的出台，我们应该看到比以往更多的组织采用国际认可的标准，例如ISO 27001以及新的扩展。

通过对ISO 27001的认证，组织能够证明其已采取适当措施来履行其法律和法规义务，以减少和管理数据安全风险。

什么叫ISO 27701？

2019年8月6日，国际标准化组织（ISO）和国际电工委员会（IEC）发布了ISO / IEC 27701（ISO 27701），这是ISO / IEC 27001和ISO / IEC 27002的隐私扩展，旨在协助组织保护和控制他们处理的个人信息。 类似于现有的ISO标准ISO 27701补充，此新的ISO标准可能成为组织保护个人身份信息（PII）的事实上的护理标准，并且能够用于证明其遵守全球隐私法规，包含通用数据保护法规（EU）2016/679（GDPR）。

这一新标准是实现安全合规的“锦上添花。 众所周知的ISO 27001构成了基础，而新的ISO 27701则在此基础上进行了构建，以提供一套全面的信息安全和个人信息保护控制措施。

ISO 27701最初开发为ISO / IEC 27552，它为建立，实施，维护和持续改进隐私信息管理系统（PIMS）提供了特定要求和指导，作为对ISO 27001中定义的灵活信息安全管理系统（ISMS）的扩展。除了信息安全之外，还应考虑到处理PII所需的隐私保护。 像ISO 27001标准一样，ISO 27701并不希望组织在所有情况下都采用每种控件。 相反，它要求组织了解处理PII的特定上下文，并以适合其处理活动的方式调整特定的控件集以及这些控件的相关实现。

为了更好地理解新标准，应该理解两个关键术语：控制器和处理器。 这些术语可在包含GDPR在内的许多隐私法律和法规中找到。 通常，“控制者是指示首先收集和处理PII的原因的实体，“处理者是负责代表该个人处理此类数据的独立法律实体（即，不是雇员）。控制器。

新发布的标准既适用于PII的控制器（以及联合控制器），也适用于PII的处理器（包含子处理器），而不管其运营所在的管辖区和部门怎样，并且还包含对GDPR和ISO / IEC的映射29100，ISO / IEC 27018和ISO / IEC 29151安全框架。 应预料到将ISO 27701要求映射到其他隐私法律，例如2018年《加利福尼亚消费者隐私法案》（CCPA），GLBA和HIPAA，并将通过提供证明遵守这些监管制度的通用标准来协助组织。

下面提供了适用于控制器和处理器的某些关键ISO 27701关键要求的高级概述。

适用于控制器和处理器的要求

机密性：被授权访问PII的个人必须签署保密协议。

分析风险：必须进行隐私风险评估以识别PII处理风险。

监督：组织必须任命1个负责制定，实施，维护和监视其治理和隐私计划的人员。

培训：必须对有权使用PII的人员进行隐私意识培训。

内部流程：组织必须采用各种政策和程序，例如针对违反PII的事件响应计划。

保持记录：ISO 27701要求组织保留所有PII处理活动的记录，包含管辖区之间的PII转移和向第三方的披露。

控制器特定要求

隐私权声明：组织必须提供隐私政策，其中包含有关PII收集，使用和处理的特定信息。

处理器合同要求：组织必须与处理者签订书面合同，处理特定项目，例如保护PII，将处理限制为收集PII的特定目的，并提供违反PII的通知。

个人权利： ISO 27701要求组织实施各种机制，以容纳个人访问，更正和删除其PII的权利，以及反对或限制PII的处理等。

设计和默认情况下的隐私： 组织必须采取措施，通过设计使隐私原则和默认情况下的隐私原则付诸实践。

处理器特定要求

加工限制：组织必须仅根据控制器或处理器的书面说明来处理PII（取决于顾客的角色）

协助个人权利：ISO 27701要求加工商采取措施，协助顾客遵守个人权利。

转让和披露：加工商必须提前将司法管辖区之间的PII转移或其任何预期变更告知顾客。

分包商：ISO 27701要求处理器仅根据顾客合同的条款委聘分包商处理PII。