尽管只能根据ISO 27001要求而不是当前根据ISO 27701来授予认可的认证,但是日益受到监管的安全和隐私格局以及对企业的网络攻击的急剧增加,无论规模大小,都应仅鼓励组织采用国际框架例如ISO 27001和ISO 27701。
独立认可的认证可以支持政府资助项目的竞标,为客户提供安全实践的证明,并向董事会和监管机构保证,组织将根据此国际框架和其他法律规定对数据隐私负责。
在过去的十年中,隐私和网络安全一直是董事会层面的问题,但是高层承诺仍然是一个挑战。随着具有重大影响的数据保护法律的出台,我们应该看到比以往更多的组织采用国际认可的标准,例如ISO 27001及其新的扩展。
通过对ISO 27001的认证,组织可以证明其已采取适当措施来履行其法律和法规义务,以减少和管理数据安全风险。
什么是ISO 27701?
2019年8月6日,国际标准化组织(ISO)和国际电工委员会(IEC)发布了ISO / IEC 27701(ISO 27701),这是ISO / IEC 27001和ISO / IEC 27002的隐私扩展,旨在帮助组织保护和控制他们处理的个人信息。 类似于现有的ISO标准ISO 27701补充,此新的ISO标准可能成为组织保护个人身份信息(PII)的事实上的护理标准,并且可以用来证明其遵守全球隐私法规,包括通用数据保护法规(EU)2016/679(GDPR)。
这一新标准是实现安全合规的“锦上添花”。 众所周知的ISO 27001构成了基础,而新的ISO 27701则在此基础上进行了构建,以提供一套全面的信息安全和个人信息保护控制措施。
ISO 27701最初开发为ISO / IEC 27552,它为建立,实施,维护和持续改进隐私信息管理系统(PIMS)提供了特定要求和指导,作为对ISO 27001中定义的灵活信息安全管理系统(ISMS)的扩展。除了信息安全之外,还应考虑到处理PII所需的隐私保护。 像ISO 27001标准一样,ISO 27701并不希望组织在所有情况下都采用每种控件。 相反,它要求组织了解处理PII的特定上下文,并以适合其处理活动的方式调整特定的控件集以及这些控件的相关实现。
为了更好地理解新标准,应该理解两个关键术语:控制器和处理器。 这些术语可在包括GDPR在内的许多隐私法律和法规中找到。 通常,“控制者”是指示首先收集和处理PII的原因的实体,“处理者”是负责代表该个人处理此类数据的独立法律实体(即,不是雇员)。控制器。
新发布的标准既适用于PII的控制器(以及联合控制器),也适用于PII的处理器(包括子处理器),而不管其运营所在的管辖区和部门如何,并且还包括对GDPR和ISO / IEC的映射29100,ISO / IEC 27018和ISO / IEC 29151安全框架。 应预料到将ISO 27701要求映射到其他隐私法律,例如2018年《加利福尼亚消费者隐私法案》(CCPA),GLBA和HIPAA,并将通过提供证明遵守这些监管制度的通用标准来帮助组织。
下面提供了适用于控制器和处理器的某些关键ISO 27701关键要求的高级概述。
适用于控制器和处理器的要求
机密性:被授权访问PII的个人必须签署保密协议。
分析风险:必须进行隐私风险评估以识别PII处理风险。
监督:组织必须任命一个负责制定,实施,维护和监视其治理和隐私计划的人员。
培训:需要对有权使用PII的人员进行隐私意识培训。
内部流程:组织必须采用各种政策和程序,例如针对违反PII的事件响应计划。
保持记录:ISO 27701要求组织保留所有PII处理活动的记录,包括管辖区之间的PII转移和向第三方的披露。
控制器特定要求
隐私权声明:组织必须提供隐私政策,其中包含有关PII收集,使用和处理的特定信息。
处理器合同要求:组织必须与处理者签订书面合同,处理特定项目,例如保护PII,将处理限制为收集PII的特定目的,并提供违反PII的通知。
个人权利: ISO 27701要求组织实施各种机制,以容纳个人访问,更正和删除其PII的权利,以及反对或限制PII的处理等。
设计和默认情况下的隐私: 组织必须采取措施,通过设计使隐私原则和默认情况下的隐私原则付诸实践。
处理器特定要求
加工限制:组织必须仅根据控制器或处理器的书面说明来处理PII(取决于客户的角色)
协助个人权利:ISO 27701要求加工商采取措施,协助客户遵守个人权利。
转让和披露:加工商必须提前将司法管辖区之间的PII转移或其任何预期变更告知客户。
分包商:ISO 27701要求处理器仅根据客户合同的条款委聘分包商处理PII。