根据GDPR(通用数据保护条例) ,数据控制者和处理者必须实施“适当的技术和组织措施”,以保护并确保他们处理的个人数据的私密性。
但是,GDPR并未就这些措施的含义提供任何指导。
幸运的是,有关数据安全的最佳实践指南可在国际标准ISO / IEC 27701:2019安全技术–隐私信息管理的ISO / IEC 27001和ISO / IEC 27002的扩展–要求和指南(ISO 27701)中找到。
ISO 27701扩展了信息安全管理标准ISO 27001及其实践准则ISO 27002中的要求,控制目标和控制,以创建PIMS(隐私信息管理系统)。
像ISO 27001一样,ISO 27701提倡基于风险的方法,以便每个符合条件的组织都可以有效地应对其面临的个人数据和隐私面临的特定风险-确保其实施的措施符合GDPR的要求。
GDPR第42条讨论了数据保护认证机制,并使用数据保护印章和标记来证明合规性。
尚无此类机制,但有可能获得ISO 27001的独立认可的认证。
并且由于ISO 27701是ISO 27001的扩展,因此将ISO 27701控件作为ISMS的一部分实施的组织应该能够使用其ISO 27001认证(经过成功审核),以证明它们遵守各种数据保护法,包括GDPR。