2019年8月发布的隐私安全标准ISO/IEC 27701:2019,能帮助企业拓展ISO /IEC 27001体系对保护隐私的局限性,更全面、准确、充分地应对隐私保护及合规要求。
今天我们先来看看ISO/IEC 27701:2019 标准的结构及其与 ISO/IEC 27001 和 ISO/IEC 27002之间的关系:
ISO/IEC 27701:2019的正式名称为安全技术--ISO/IEC 27001 和 ISO/IEC 27002 对隐私信息管理的扩展--要求和指南。其以ISO/IEC 27001 和 ISO/IEC 27002 对隐私信息管理的扩展方式,为在组织范围内建立、实施、维护和持续改进隐私信息管理体系(PIMS)指定要求,并提供指南。
与ISO/IEC 27001 配合使用,是认证要求和实施指南的组合体。 它是对ISO/IEC 27001 的扩展,因其增加了附加的PIMS 相关要求,如条款5、附录 A 和附录 B。认证要求在标准中共有67项,表述为'应'。同时,为组织实施 PIMS,还增加了从ISO/IEC 27002 到 PIMS的附加指南,例如条款6、7和8。
条款
条款标题
备注
1
范围
标准的适用性
2
规范性引用文件
标准参考
3
术语、定义和缩写
4
总则
标准结构的描述
5
与 ISO/IEC 27001 相关的PIMS特定要求
在ISO/IEC 27001 中要求的PIMS特定要求
6
与 ISO/IEC 27002 相关的PIMS特定指南
在ISO/IEC 27002中,PIMS对控制点的特定指南
7
对PII控制者附加的ISO/IEC 27002指南
对PII控制者的附加ISO/IEC 27002指南
8
对PII处理者附加的ISO/IEC 27002指南
附录 A
(规范性附录)PIMS特定参考控制目标和控制(PII 控制者)
强制性控制,适用于数据控制者
附录 B
(规范性附录)PIMS特定参考控制目标和控制(PII 处理者)
强制性控制,适用于数据处理者
附录 C
与ISO/IEC 29100的对照关系
非认证的、信息性的附录
附录 D
与通用数据保护条例(GDPR)的对照关系
附录 E
附录 E(信息性),与ISO/IEC 27018和ISO/IEC 29151 的对照关系
附录 F
如何将ISO/IEC 27701 应用于ISO/IEC 27001 和 ISO/IEC 27002
条款5 与 ISO/IEC 27001 相关的PIMS特定要求
涵盖了对 ISO/IEC 27001:2013 条款4~10附加的要求,均为认证要求。例如,如本标准中条款5.7.2 的表述:
ISO/IEC 27001:2013,9.2 中所述要求以及5.1 中所述的解释均适用。
该标准不增加任何新的内部审核要求,只要组织理解这是ISO/IEC 27001:2013 对处理个人可识别信息(PII)所可能增加风险的“信息安全”要求。
ISO/IEC 27701:2019对ISO/IEC 27001的以下条款增加了附加的要求:
4.1
理解组织及其环境
4.2
理解相关方的需求和期望
4.3
确定信息安全管理体系的范围
6.1.2
信息安全风险评估
6.1.3
信息安全风险处置
条款6 与ISO/IEC 27002相关的PIMS特定指南
涵盖了与ISO/IEC 27002有关的其他PIMS相关指南。例如,标准条款6.9.4.4(与 ISO/IEC 27001:2013 的12.4.4 时钟同步相对应)不包含任何附加要求,因为时钟同步与隐私风险没有相关性。另一方面,标准条款6.9.3.1 (与 ISO/IC 27001:2013 的12.3.1 信息备份相对应)则增加较多的隐私管理指南,因为信息备份可能存在隐私风险,例如数据保留期、跨境数据传输等。下表总结了 ISO/IEC 27002 各个领域中的控制点的数量。在 ISO/IEC 27002 中,共对32项新的控制点进行了修订。与ISO/IEC 27002一样,条款6中的指南为非认证条款。
ISO/IEC 27002条款
修订的控制点数量
12
13
14
15
9
16
10
17
0
11
18
条款7 对PII控制者附加的ISO/IEC 27002指南
为 PII 控制者提供指南。对于 PII 控制者所需的所有控制点都列在标准的附录A 中。这些控制点是规范性的,这意味着如果组织作为控制者,则应实施这些控制(参见如下认证中的 PII 控制者与PII 处理者)。条款7中所提供的指南有助于组织实施这些控制。然而,这些指南为非认证性的。
条例
控制方面
控制点数量
A. 7.2
数据收集和处理的条件
8项控制
A. 7.3
(应履行)对PII所有者的义务
10项控制
A. 7.4
从设计开始保护隐私和默认保护隐私
9项控制
A. 7.5
PII 信息的共享、转让和披露
4项控制
条款8 对PII处理者附加的ISO/IEC 27002指南
为 PII 处理者提供指南。本标准附录 B 列出了 PII 处理者的控制点。与附录 A 相似,如果组织作为处理者,这些控制点是规范性的。条款8的指南是非认证性的。
B. 8.2
6项控制
B. 8.3
应履行对PII所有者的义务
1项控制
B. 8.4
从设计开始保护隐私和默认保护隐私设置
3项控制
B. 8.5
公司地址:中国 · 广州市番禺区兴南大道421号南村壹号大厦608室
热线电话:020-38860656
体系认证:13822209696
课程培训:020-38860656
公司邮箱:1197097228@qq.com
粤公网安备 44010602005094号
感谢您的关注,当前客服人员不在线,请填写一下您的信息,我们会尽快和您联系。