颐卓咨询
颐卓咨询总公司
  • 关注微信
  • 公司总机: 020-38860656
    业务咨询: 134 339 33194
    【颐卓咨询集团】020-38860656专业提供ISO认证咨询、管理咨询、培训辅导服务,集团经过超15年发展及管理沉甸,聚集100余名各行业专业精英咨询团队。颐卓咨询本着"专业诚信,一心为客户提升管理水平"的服务理念,发展成为华南地区规模最大的咨询机构之一!
    有目标、沉住气、踏实干。拒绝喧嚷、拒绝浮躁、拒绝摆秀、拒绝浮名、拒绝速成,慢慢地蓄深养厚,最终把事业搞辉煌,把自己搞平淡。
    真诚沟通,互动双赢
    新闻动态
    NEWS CENTER
     
    N 新闻中心 News center 最专业的品牌服务,为您创造更高的价值

    隐私信息管理体系ISO/IEC27701标准解析

    来源: 网络
    日期: 2021-11-08
    浏览次数: 135

    2019年8月发布的隐私安全标准ISO/IEC 27701:2019,能帮助企业拓展ISO /IEC 27001体系对保护隐私的局限性,更全面、准确、充分地应对隐私保护及合规要求。


    今天我们先来看看ISO/IEC 27701:2019 标准的结构及其与 ISO/IEC 27001 和 ISO/IEC 27002之间的关系:


    ISO/IEC 27701:2019的正式名称为安全技术--ISO/IEC 27001 和 ISO/IEC 27002 对隐私信息管理的扩展--要求和指南。其以ISO/IEC 27001 和 ISO/IEC 27002 对隐私信息管理的扩展方式,为在组织范围内建立、实施、维护和持续改进隐私信息管理体系(PIMS)指定要求,并提供指南。


    与ISO/IEC 27001 配合使用,是认证要求和实施指南的组合体。 它是对ISO/IEC 27001 的扩展,因其增加了附加的PIMS 相关要求,如条款5、附录 A 和附录 B。认证要求在标准中共有67项,表述为'应'。同时,为组织实施 PIMS,还增加了从ISO/IEC 27002 到 PIMS的附加指南,例如条款6、7和8。


    一表了解ISO/IEC 27701:2019 标准的详细结构: 


    条款

    条款标题

    备注

    1

    范围

    标准的适用性

    2

    规范性引用文件

    标准参考

    3

    术语、定义和缩写


    _

    4

    总则

    标准结构的描述

    5

    与 ISO/IEC 27001 相关的PIMS特定要求

    在ISO/IEC 27001 中要求的PIMS特定要求

    6

    与 ISO/IEC 27002 相关的PIMS特定指南

    在ISO/IEC 27002中,PIMS对控制点的特定指南

    7

    对PII控制者附加的ISO/IEC 27002指南

    对PII控制者的附加ISO/IEC 27002指南

    8

    对PII处理者附加的ISO/IEC 27002指南

    对PII处理者附加的ISO/IEC 27002指南

    附录 A

    (规范性附录)PIMS特定参考控制目标和控制(PII 控制者)

    强制性控制,适用于数据控制者

    附录 B

    (规范性附录)PIMS特定参考控制目标和控制(PII 处理者)

    强制性控制,适用于数据处理者

    附录 C

    与ISO/IEC 29100的对照关系

    非认证的、信息性的附录

    附录 D

    与通用数据保护条例(GDPR)的对照关系


    _

    附录 E

    附录 E(信息性),与ISO/IEC 27018和ISO/IEC 29151 的对照关系


    _

    附录 F

    如何将ISO/IEC 27701 应用于ISO/IEC 27001 和 ISO/IEC 27002



    主要条款详情:


    条款5  与 ISO/IEC 27001 相关的PIMS特定要求


    涵盖了对 ISO/IEC 27001:2013 条款4~10附加的要求,均为认证要求。例如,如本标准中条款5.7.2 的表述:

    ISO/IEC 27001:2013,9.2 中所述要求以及5.1 中所述的解释均适用。 


    该标准不增加任何新的内部审核要求,只要组织理解这是ISO/IEC 27001:2013 对处理个人可识别信息(PII)所可能增加风险的“信息安全”要求。 


    ISO/IEC 27701:2019对ISO/IEC 27001的以下条款增加了附加的要求:


    4.1

    理解组织及其环境

    4.2

    理解相关方的需求和期望

    4.3

    确定信息安全管理体系的范围

    6.1.2

    信息安全风险评估

    6.1.3

    信息安全风险处置


    条款6  与ISO/IEC 27002相关的PIMS特定指南


    涵盖了与ISO/IEC 27002有关的其他PIMS相关指南。例如,标准条款6.9.4.4(与 ISO/IEC 27001:2013 的12.4.4 时钟同步相对应)不包含任何附加要求,因为时钟同步与隐私风险没有相关性。另一方面,标准条款6.9.3.1 (与 ISO/IC 27001:2013 的12.3.1 信息备份相对应)则增加较多的隐私管理指南,因为信息备份可能存在隐私风险,例如数据保留期、跨境数据传输等。下表总结了 ISO/IEC 27002 各个领域中的控制点的数量。在 ISO/IEC 27002 中,共对32项新的控制点进行了修订。与ISO/IEC 27002一样,条款6中的指南为非认证条款。


    ISO/IEC 27002条款

    修订的控制点数量

    ISO/IEC 27002条款

    修订的控制点数量

    5

    1

    12

    3

    6

    2

    13

    2

    7

    1

    14

    5

    8

    5

    15

    1

    9

    3

    16

    2

    10

    1

    17

    0

    11

    2

    18

    4


    条款7  对PII控制者附加的ISO/IEC 27002指南


    为 PII 控制者提供指南。对于 PII 控制者所需的所有控制点都列在标准的附录A 中。这些控制点是规范性的,这意味着如果组织作为控制者,则应实施这些控制(参见如下认证中的 PII 控制者与PII 处理者)。条款7中所提供的指南有助于组织实施这些控制。然而,这些指南为非认证性的。


    条例

    控制方面

    控制点数量

    A. 7.2

    数据收集和处理的条件

    8项控制

    A. 7.3

    (应履行)对PII所有者的义务

    10项控制

    A. 7.4

    从设计开始保护隐私和默认保护隐私

    9项控制

    A. 7.5

    PII 信息的共享、转让和披露

    4项控制


    条款8  对PII处理者附加的ISO/IEC 27002指南


    为 PII 处理者提供指南。本标准附录 B 列出了 PII 处理者的控制点。与附录 A 相似,如果组织作为处理者,这些控制点是规范性的。条款8的指南是非认证性的。


    条例

    控制方面

    控制点数量

    B. 8.2

    数据收集和处理的条件

    6项控制

    B. 8.3

    应履行对PII所有者的义务

    1项控制

    B. 8.4

    从设计开始保护隐私和默认保护隐私设置

    3项控制

    B. 8.5

    PII 信息的共享、转让和披露

    8项控制


    公司地址:中国 · 广州市番禺区兴南大道421号南村壹号大厦608室

    热线电话:020-38860656

    体系认证:13822209696

    课程培训:020-38860656

    公司邮箱:1197097228@qq.com

    版权所有:www.chinakec.com广州市颐卓企业管理咨询有限公司
    地址:广州市番禺区南村镇兴南大道421号南村壹号大厦608室
    X
    3

    SKYPE 设置

    4

    阿里旺旺设置

    5

    电话号码管理

    • 020-38860656
    6

    二维码管理

    展开