ISO27701是什么?企业为什么要申请ISO27701?

发布于 2021-08-21 14:16

ISO/IEC27701标准的发布,填补了目前隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并且对PII控制者和PII处理者进行了较为详细且落地性强的规定,给企业在隐私保护和信息安全方面给出了指导建议。

一、隐私保护的重要性被不断强调,ISO/IEC27701标准也随之出台

威胁重重,数据滥用、数据窃取、隐私泄露以及“大数据杀熟”等数据安全问题呈现爆发趋势。在此背景下,全球各个国家纷纷颁布相关法律法规,对数据安全与隐私保护相关问题进行严格的规范与引导。

如欧盟保护个人数据的《GeneralDataProtectionRegulation》(GDPR);美国的《CaliforniaConsumerPrivacyAct》(CCPA)等。

为了应对越来越多的个人数据泄露或滥用的情况,国际范围迎来了隐私保护立法和建立标准热潮。

1.GDPR

欧盟于2018年5月25日正式实施了《通用数据保护条例》(《GeneralDataProtectionRegulation》,简称《GDPR》),是一项保护欧盟公民个人隐私和数据的法律,其适用范围包括欧盟成员国境内企业的个人数据、也包括欧盟境外企业处理欧盟公民的个人数据。

2.CCPA

美国已有多个州先在数据安全与隐私保护进行了立法,其中最著名的要数2018年6月加州通过《加州消费者隐私法案》(《CaliforniaConsumerPrivacyAct》,简称《CCPA》)。该法案被称为美国“最严厉和最全面的个人隐私保护法案”,将于2020年1月1日生效。

3.网络安全法

我国于2017年6月1日正式实施《中华人民共和国网络安全法》(通常简称《网安法》)。《网安法》是我国首部全面规范网络空间安全管理方面问题的基础性法律,包含的内容十分丰富,一共包括7章79条,包含网络运行安全、关键信息基础设施的运行安全、网络信息安全等内容。值得关注的是,《网安法》在数据(包括个人信息)安全与保护上也有诸多规定,例如第四十至四十五条。

ISO标准委员会以ISO27001为基准,以ISO27552为蓝本,建立了ISO27701标准。

二、ISO/IEC27701标准介绍

1.关键术语解释

PII:个人可识别身份信息,指a)任何可以识别PII主体的信息或b)直接或间接与PII主体相关的信息

PIMS:PrivacyInformationManagementSystem,隐私信息管理体系

Customer:

PII控制者的customer:与PII控制者有合约关系的组织,可以是共同控制者

PII处理者的customer:与PII处理者有合约关系的PII控制者

与PII处理的分包商有合约关系的PII处理者

2.ISO27701结构组成

ISO27701是ISO27001和ISO27002在隐私信息管理方面的扩展,并在隐私保护方面提供了必要的额外要求。ISO/IEC27701标准的正文由8个条款组成,其中:

条款1-4,给出了标准的范围,术语、定义等。

条款5介绍了ISO27001中延伸出的关于PIMS的扩展要求以及本标准对PIMS的附加要求。

条款6介绍了ISO27002中对PIMS的扩展及附加要求。上述条款对PII的控制者和处理者均适用。

条款7给出了针对PII控制者的ISO27002扩展指南。

条款8给出了针对PII处理者的ISO27002扩展指南。这两章从PII的收集和处理,对PII主体的义务,Privacybydesign&Privacybydefault,PII的共享、传输和披露四个方面做出了相应规定。

附录A是针对PII控制者的PIMS特定的控制目标和控制措施。

附录B是针对PII处理者的PIMS特定的控制目标和控制措施。

附录C给出了标准与ISO/IEC29100的映射。

附录D是与GDPR的映射。

附录E是与ISO/IEC27018和ISO/IEC29151的映射。

附录F则是如何在处理PII时将ISO/IEC27001和ISO/IEC27002扩展到隐私保护。

总体而言,标准通过第5章和第6章将ISO27002与附加的PIMS控制项构成了完整的信息安全和隐私管理体系。第7章和第8章从数据生命周期的角度新增分别针对PII控制者和处理者的控制要求。

免责声明:ISO27701相关信息来源网络,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品版权和其它问题,请联系我们,我们将在核实后第一时间删除内容!

新闻资讯

  • ISO45001与ISO14001有哪些区别?

    一、ISO14001和ISO45001的区别 ISO14001是指环境管理体系认证而(ISO45001是指职业健康安全管理体系认证,两者既有相同之处,也有所不同二十一世纪的管理趋势是

  • 北京企业申请ISO27001的详细攻略介绍

    一、北京企业办理ISO27001业务的服务介绍 信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年

  • ISO9001和ISO9002有什么区别?

    1、ISO9001规定了20项要求,比ISO9002多1项要求; 2、ISO9001 证实企业设计和生产合格产品的过程控制能力,ISO9002 证实企业生产合格产品的过程控制能力; 3、

  • ISO20000申请认证的条件和步骤

    ISO20000认证条件 1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。 2、

  • ISO29151与ISO27701主要区别有哪些?企业应该

    ISO29151与ISO27701的结构不同 ISO27701是ISO27001和ISO27002在隐私方面的扩展,并为隐私保护提供了除ISO 27001和ISO 27002之外的额外指导。标准通过第5章和第6章将IS

  • ISO9001、ISO14001、OHSAS18001三者的区别是什么

    ISO9001、ISO14001及OHSAS18001均是组织全面管理的重要组成部分,它们分别从不同的侧面规范组织的活动和行为。如下: ISO9001侧重对组织产品质量的管理 ISO14

  • ISO14001的认证的要求以及需要满足的条件

    申请ISO14001的要求 ISO14001认证全称是ISO14001环境管理体系认证,是指依据ISO14001标准由第三方认证机构实施的合格评定活动。ISO14001是由国际标准化组织发布

  • ISO14001认证适用于哪些行业?

    ISO14001环境管理体系是指导企业减少、控制经营过程中对环境产生的污染的一个系统管理方法,涉及到水污染、大气污染、噪声污染、能源消耗、消防、化

  • ISO9001质量管理体系适合哪些企业申请?

    ISO9001标准是一个放之四海皆准的东西,这并不是说它有多么万能,而是因为9001是一个基础型的标准,是西方质量管理科学的精华,生产型的企业适用,服

  • ISO22301业务连续性标准主要条款介绍

    ISO22301标准分为10个主要条款,前三款分别是范围、规范性文献、术语和定义,下面介绍该标准的其他主要条款要求。 1.1 第四款:组织 首先,组织应了解内