ISO27701合规首先要求ISO27001合规。二者互为补充。遵从ISO27701要求的组织机构会留下其PII处理方式的书面证据,可用于推动与商业合作伙伴就PII处理问题签订协议,明确该组织机构与其他利益相关者间的PII处理方式。
没有通过ISO27001认证可以申请ISO27701认证吗? 答案是:可以申请!
正在实施或具有符合ISO27001的ISMS (信息安全管理系统)的组织应该发现,可以直接使用ISO 27701扩展其安全性工作,包括对个人数据/ PII (个人身份信息)的处理。
那些没有ISMS的企业可以将ISO 27001和ISO 27701一起作为一个项目实施,从而定义管理系统的范围以覆盖其数据处理活动。
这是因为IS027701被设计为可用于所有数据控制器和数据处理器,是基于ISO27001框架构建的,因此不管企业是否已实现ISO27001,两个体系可以同时实现或在以后添加。
ISO27001前瞻 :
全世界的立法者和监管机构都在引入新的数据使用治理法案,尤其是PII数据使用的治理。最近,GDPR的生效使除客户和供应商外的很多公司企业争相达成合规。不断改变的法律环境给所有公司企业带来了挑战,但最为头疼的是那些必须符合多个司法辖区规定的公司企业。新发布的ISO27701标准将提供一种协调的方式,供组织机构确定、规划、实现和记录其全球数据隐私方法,不用再在各地分别应对每个新的立法。
无论组织机构的规模大小,不管身为PII控制者还是处理者,公司企业都应考虑获取ISO27701认证,要么是自身,要么要求供应商获得。对处理敏感或大量PII的处理者、下级处理者和联合控制者而言尤其如此。