概述
成都ISO认证咨询中ISO27701体系以隐私保护的原则、理念和方法,融入到信息安全保护体系中。ISO/IEC 27701嵌套在ISO/IEC 27000系列中,并要求ISO/IEC 27001标准。适用于所有类型和规模的需要对个人身份信息进行管理的任何组组长,如银行、保险公司、航空公司、数据中心、代理商、非政府组织、医院和学校等。
ISO/IEC 27701作为ISO/IEC 27001与ISO/IEC 27002在管理上的延伸标准,其目标是通过新增的要求来增强现有信息安全管理体系(ISMS),以便建立、实施、维护和不断改进隐私管理体系(PIMS),标准概述可适用于个人信息身份信息(PII)控制者和PII处理者的框架,用于隐私控制管理,以降低对个人隐私的各种风险。
ISO/IEC 27701标准的征文由8个条款组成,其中:
1、条款1-4,给出了标准范围、术语、定义等;
2、条款5,给出了ISO/IEC 27001相关的PIMS要求;
3、条款6,给出了ISO/IEC 27002相关的PIMS指南;
4、条款7,给出了针对PII控制者的ISO/IEC 27002扩展指南;
5、条例8,给出了针对PII处理者的ISO/IEC 27002扩展指南;
6、附录A,针对PII控制者的PIMS特定的控制目标和控制措施;
7、附录B,针对PII处理者的PIMS特定的控制目标和控制措施;
8、附录C,与ISO/IEC 29100的对应;
9、附录D,与GDPR的对应;
10、附录E,与ISO/IEC 27018和ISO/IEC 29151的对应;
11、附录F,如何在ISO/IEC27001和ISO/IEC27002的基础上实施ISO/IEC 27001。
通过明确对PII控制者和处理者的隐私保护要求,可以使组织明确隐私保护管理合规目标,减轻组织合规负担的同时降低组织合规风险。
实现持续的个人隐私安全合规对于任何组织都是一个安全治理的课题,成都ISO认证咨询中27001通过建立PIMS,可以确保组织高级管理层、组织所有者以及关键相关方的利益满足隐私保护要求,从而使组织实现长期、持久的个人隐私安全合规。PIMS咨询认证可以向组织客户或合作伙伴传达隐私合规价值。PII控制者通常会要求PII处理者提供相关证据,从而证明PII处理者的隐私管理体系符合适用的隐私管理要求。通过得到授权的第三方机构对PII处理者进行审计验证,基于国际标准的统一证据框架可以极大地降低合规沟通成本,这种合规透明度的提高对于组织战略和业务决策至关重要,同时PIMS咨询认证也有助于向公众传达组织的可信度。