ISO27701标准的要求分为以下几个章节:
ISO27701第5章概述了与ISO27001相关的PIMS要求。
ISO27701第6章概述了与ISO27002相关的PIMS要求。
ISO27701第7章概述了控制器的PIMS指南。
ISO27701第8章概述了针对处理器的PIMS指南。
ISO27701第5章:与ISO27001相关的PIMS要求
本章包含对ISO27001的许多引用,并且本质上旨在针对具有隐私相关要求的现有ISMS进行升级。 通常,这意味着在ISO27001中“信息安全性”中提到的任何地方都应阅读或用“信息安全性和隐私性”代替(另请参阅第5.1段)。 下表列出了一些示例,说明了应用这些更改并不是火箭科学。
除了应用此一般更改外,还将涵盖ISO27001的所有章节。 下面将参考ISO27701段落编号(在方括号中)讨论最重要的更改。
组织环境(5.2)
要评估的第一个主题是您的组织是个人数据的控制者和/或处理者。 此外,检查有关隐私的相关法律和法规也很重要。 应该对可能影响PIMS预期结果的相关内部和外部因素进行概述。 其他示例包括合同要求,还包括合作伙伴和其他相关方的角色。
领导的参与(5.3)
对于领导层的参与,没有针对隐私的特定要求。
规划和目标(5.4)
隐私风险的处理方式与ISO27001中的信息安全风险的处理方式相同。可以应用集成的信息安全和隐私风险评估,也可以创建两个单独的流程。 关于风险处理,必须考虑到ISO27701附件A和B中提到的隐私控制。
支持包括资源和沟通(5.5)
本段仅包含对ISO27001的第7章的引用。
运营方面(5.6)
本段仅包含对ISO27001的第8章的引用。
绩效评估(5.7)
本段仅包含对ISO27001第9章的引用。
持续改进(5.8)
本段仅包含对ISO27001第10章的引用。
添加以上与隐私相关的要求将为隐私信息管理系统或PIMS提供基础。
ISO27701第6章:与ISO27002相关的PIMS要求
在本节中,将特定的隐私要求添加到ISO27002中的现有信息安全控件中 。 第6章中提到的两个控件在这里值得一提,因为它们说明了隐私和安全程序之间的交集:
保护测试数据
该控件指出,除了ISO27002控件14.3.1之外,不应将个人身份信息用于测试目的。 优良作法是将虚拟数据用于测试目的,因为测试环境易受攻击。
信息安全事件管理
与安全相关的事件可能会导致个人数据泄露。 在一些国家/地区,有关于违规报告的法规。 不仅需要在技术层面上管理此类事件的内部责任,而且还需要用于通知有关当局或数据主体的程序。
ISO27701第7章:针对管制员的GDPR指南
本章包含针对个人信息控制者的多项GDPR合规性检查。 但是,根据GDPR,大多数控制措施都是强制性的。 涵盖的主题有:
处理个人数据的合法依据
同意管理
数据保护影响评估(DPIA)
数据处理协议
促进数据主体权利
通过设计和默认原则实施隐私
数据出口到第三国
ISO27701第8章:处理器的GDPR指南
本章包含针对个人信息处理者的多项GDPR合规性检查。 但是,根据GDPR,大多数控制措施都是强制性的。 涵盖的主题有:
加工条件
数据保护原则
通过设计和默认原则实施隐私
数据出口到第三国