客服热线:
手机版
二维码
为何要进行ISO27701认证
尽管只能根据ISO 27001要求而不是当前根据ISO 27701来授予认可的认证,可是日益受到监管的安全和隐私格局以及对企业的网络攻击的急剧增加,无论规模大小,都应仅鼓励组织采用国际框架例如ISO 27001和ISO 27701。
独立认可的认证能够支持政府资助项目的竞标,为顾客提供安全实践的证明,并向董事会和监管机构保证,组织将根据此国际框架和其他法律规定对数据隐私负责。
在过去的十年中,隐私和网络安全一直是董事会层面的问题,可是高层承诺仍然是1个挑战。随着具有重大影响的数据保护法律的出台,我们应该看到比以往更多的组织采用国际认可的标准,例如ISO 27001以及新的扩展。
通过对ISO 27001的认证,组织能够证明其已采取适当措施来履行其法律和法规义务,以减少和管理数据安全风险。
什么叫ISO 27701?
2019年8月6日,国际标准化组织(ISO)和国际电工委员会(IEC)发布了ISO / IEC 27701(ISO 27701),这是ISO / IEC 27001和ISO / IEC 27002的隐私扩展,旨在协助组织保护和控制他们处理的个人信息。 类似于现有的ISO标准ISO 27701补充,此新的ISO标准可能成为组织保护个人身份信息(PII)的事实上的护理标准,并且能够用于证明其遵守全球隐私法规,包含通用数据保护法规(EU)2016/679(GDPR)。
这一新标准是实现安全合规的“锦上添花。 众所周知的ISO 27001构成了基础,而新的ISO 27701则在此基础上进行了构建,以提供一套全面的信息安全和个人信息保护控制措施。
ISO 27701最初开发为ISO / IEC 27552,它为建立,实施,维护和持续改进隐私信息管理系统(PIMS)提供了特定要求和指导,作为对ISO 27001中定义的灵活信息安全管理系统(ISMS)的扩展。除了信息安全之外,还应考虑到处理PII所需的隐私保护。 像ISO 27001标准一样,ISO 27701并不希望组织在所有情况下都采用每种控件。 相反,它要求组织了解处理PII的特定上下文,并以适合其处理活动的方式调整特定的控件集以及这些控件的相关实现。
为了更好地理解新标准,应该理解两个关键术语:控制器和处理器。 这些术语可在包含GDPR在内的许多隐私法律和法规中找到。 通常,“控制者是指示首先收集和处理PII的原因的实体,“处理者是负责代表该个人处理此类数据的独立法律实体(即,不是雇员)。控制器。
新发布的标准既适用于PII的控制器(以及联合控制器),也适用于PII的处理器(包含子处理器),而不管其运营所在的管辖区和部门怎样,并且还包含对GDPR和ISO / IEC的映射29100,ISO / IEC 27018和ISO / IEC 29151安全框架。 应预料到将ISO 27701要求映射到其他隐私法律,例如2018年《加利福尼亚消费者隐私法案》(CCPA),GLBA和HIPAA,并将通过提供证明遵守这些监管制度的通用标准来协助组织。
下面提供了适用于控制器和处理器的某些关键ISO 27701关键要求的高级概述。
适用于控制器和处理器的要求
机密性:被授权访问PII的个人必须签署保密协议。
分析风险:必须进行隐私风险评估以识别PII处理风险。
监督:组织必须任命1个负责制定,实施,维护和监视其治理和隐私计划的人员。
培训:必须对有权使用PII的人员进行隐私意识培训。
内部流程:组织必须采用各种政策和程序,例如针对违反PII的事件响应计划。
保持记录:ISO 27701要求组织保留所有PII处理活动的记录,包含管辖区之间的PII转移和向第三方的披露。
控制器特定要求
隐私权声明:组织必须提供隐私政策,其中包含有关PII收集,使用和处理的特定信息。
处理器合同要求:组织必须与处理者签订书面合同,处理特定项目,例如保护PII,将处理限制为收集PII的特定目的,并提供违反PII的通知。
个人权利: ISO 27701要求组织实施各种机制,以容纳个人访问,更正和删除其PII的权利,以及反对或限制PII的处理等。
设计和默认情况下的隐私: 组织必须采取措施,通过设计使隐私原则和默认情况下的隐私原则付诸实践。
处理器特定要求
加工限制:组织必须仅根据控制器或处理器的书面说明来处理PII(取决于顾客的角色)
协助个人权利:ISO 27701要求加工商采取措施,协助顾客遵守个人权利。
转让和披露:加工商必须提前将司法管辖区之间的PII转移或其任何预期变更告知顾客。
分包商:ISO 27701要求处理器仅根据顾客合同的条款委聘分包商处理PII。
为何要进行ISO标准化
为何要进行ISO标准化
有一次在某企业进行培训时,该企业生产部主管提问道:我们部门有一位设备 修理工,经常违反纪律,但有些设备仅有他会修理。请问我们是否该处分他?其实国内不少企业都会出现类似这样让管理者头疼的问 题。在1个企业里,假如出现像这样不可缺少的人,那对企业而言是十分危险的。避免或减少这种危险的法宝就是标准化。
所谓标准化,就是将企业里有各式各样的规范,如:规程、规定、规则、标准、 要领等等,这些规范形成文字化的东西统称为标准(或称标准书)。制定标准,而 后依标准付诸行动则称之为标准化。那些认为编制 或改定了标准即认为已完成标准化的观点是错误的,仅有经过指导、训练才能算是实施了标准化。
持续改进与标准化是企业提升管理水平的2大轮子。持续改进是使企业管理水 平不断提升的驱动力,而标准化则是防止企业管理水平下滑的制动力。没有标准化,企业不可能维持在较高的管理水平。
在工厂里,所谓“制造”就是以规定的 成本、规定的工时、生产出品质均匀、符合规格的产品。要达到上述目的,假如制造现场之作业如工序的前后次序随意变更,或作业 方法或作业条件随人而异有所改变的话,一定无法生产出符合上述目的的产品。因此,必须对作业流程、作业方法、作业条件加以规 定并贯彻执行,使之标准化。
标准化有以下 四大目的:技术储备、提高效率、防止再发生、教育训练
标准化的作用主要是把企业内的成员所积累的技术、经验,通过文件的方式来加以保存,而不会因 为人员的流动,整个技术、经验跟着流失。达到个人知道多少, 组织就知道多少,也就是将个人的经验(财富)转化为企业的财富; 更由于有了标准化,每一项工作即使换了不同的人来操作,也不会由于不同的人,在效率与品质上出现太大的差异。
假如没有标准化,老员工离职时,他将所有曾经发 生过问题的对应方法、作业技巧等宝贵经验装在脑子里带走后,新员工可能重复发生以前的问题,即便在交接时有了传授,但凭记忆 很难完全记住。没有标准化,不同的师傅将带出不同的徒弟,其工作结果的一致性可想而知。
因此,企业应该将各项生产及管理活动都进行标准化,才能提高生产效 率,保证产品质量。
