ISO27701認(rèn)證標(biāo)準(zhǔn)是什么

Date04 6 月 2021

ISO27701認(rèn)證標(biāo)準(zhǔn)是什么
ISO 27701 源自ISO／IEC 27552，為建立、實(shí)現(xiàn)、維護(hù)和持續(xù)改進(jìn)隱私信息管理系統(tǒng)（PIMS）提供具體要求和指南，令PIMS作為ISO 27001中定義的靈活信息安全管理系統(tǒng)（ISMS）的擴(kuò)展，在信息安全的基礎(chǔ)上將處理PII所需的隱私保護(hù)納入考慮。
與ISO 27001標(biāo)準(zhǔn)類(lèi)似，ISO 27701不期望組織機(jī)構(gòu)在所有情況下采納每一條控制。相反，該標(biāo)準(zhǔn)要求組織機(jī)構(gòu)理解自身PII處理的具體上下文，以適合其處理活動(dòng)的方式調(diào)整特定控制集和與之相關(guān)的實(shí)現(xiàn)。
為更好地理解新標(biāo)準(zhǔn)，需要弄清兩個(gè)關(guān)鍵術(shù)語(yǔ)：控制者和處理者。這兩個(gè)術(shù)語(yǔ)在很多隱私法律和規(guī)定中都能見(jiàn)到，包括GDPR。通常，“控制者”是指示為什么要收集和處理PII的實(shí)體，“處理者”是代表該控制者負(fù)責(zé)處理此數(shù)據(jù)的另一個(gè)法律實(shí)體（非員工）。新發(fā)布的標(biāo)準(zhǔn)適用于PII控制者（及聯(lián)合控制者）和處理者（包括下級(jí)處理者），無(wú)論其運(yùn)營(yíng)的行業(yè)和司法轄區(qū)，也包括到GDPR和SO／IEC 29100、ISO／IEC 27018及ISO／IEC 29151安全框架的映射。預(yù)計(jì)ISO 27701要求還將映射到其他隱私法律，如《2018加州消費(fèi)者隱私法案》（CCPA）、《金融服務(wù)現(xiàn)代化法案》（GLBA）和《健康保險(xiǎn)流通與責(zé)任法案》（HIPAA）等，通過(guò)提供通用的合規(guī)標(biāo)準(zhǔn)幫助組織機(jī)構(gòu)更好地符合這些監(jiān)管要求。
下面我們就就來(lái)看看適用于控制者和處理者的關(guān)鍵ISO 27701要求。
適用于控制者和處理者的要求
保密性：經(jīng)授權(quán)訪(fǎng)問(wèn)PII的個(gè)人必須履行保密協(xié)議。
分析風(fēng)險(xiǎn)：必須進(jìn)行隱私風(fēng)險(xiǎn)評(píng)估以識(shí)別 PII處理風(fēng)險(xiǎn)。
監(jiān)管：組織機(jī)構(gòu)必須指定負(fù)責(zé)開(kāi)發(fā)、實(shí)現(xiàn)、維護(hù)和監(jiān)視其治理及隱私項(xiàng)目的個(gè)人。
培訓(xùn)：可以訪(fǎng)問(wèn)PII的人員需經(jīng)過(guò)隱私意識(shí)培訓(xùn)。
內(nèi)部過(guò)程：組織機(jī)構(gòu)必須為應(yīng)對(duì)PII泄露事件而采納各種策略和規(guī)程，比如事件響應(yīng)計(jì)劃。
記錄保存：ISO 27701要求組織機(jī)構(gòu)保留所有PII處理活動(dòng)的記錄，包括PII在司法轄區(qū)間轉(zhuǎn)移和向第三方披露等。
特定于控制者的要求
隱私通告：組織機(jī)構(gòu)必須提供包含PII收集、使用和處理相關(guān)具體信息的隱私政策。
處理者合同要求：組織機(jī)構(gòu)必須與其處理者簽訂書(shū)面合同，約定具體事項(xiàng)，比如保護(hù)PII、限制處理操作僅可在PII特定用途范圍內(nèi)，以及提供PII泄露通報(bào)。
個(gè)人權(quán)益：ISO 27701要求組織機(jī)構(gòu)實(shí)現(xiàn)各種機(jī)制，賦予個(gè)人訪(fǎng)問(wèn)、修改和刪除其PII，以及反對(duì)或限制PII處理等權(quán)益。
設(shè)計(jì)隱私與默認(rèn)隱私：組織機(jī)構(gòu)必須采取措施實(shí)現(xiàn)設(shè)計(jì)隱私和默認(rèn)隱私原則。
特定于處理者的要求
處理限制：組織機(jī)構(gòu)必須僅按控制者或處理者（取決于客戶(hù)的角色）的說(shuō)明處理PII。
輔助個(gè)人權(quán)益：ISO 27701 要求處理者實(shí)現(xiàn)幫助客戶(hù)遵從個(gè)人權(quán)益的種種措施。轉(zhuǎn)移與披露：處理者必須于PII在司法轄區(qū)間轉(zhuǎn)移或任何預(yù)期變化發(fā)生前通告客戶(hù)。
分包商：ISO 27701要求處理者僅可雇傭一家分包商按照客戶(hù)合同的條款處理PII。
ISO 27701的好處
ISO 27701 合規(guī)首先要求ISO 27001合規(guī)。二者互為補(bǔ)充。遵從ISO 27701要求的組織機(jī)構(gòu)會(huì)留下其PII處理方式的書(shū)面證據(jù)，可用于推動(dòng)與商業(yè)合作伙伴就PII處理問(wèn)題簽訂協(xié)議，明確該組織機(jī)構(gòu)與其他利益相關(guān)者間的 PII處理方式。盡管GDPR尚未確立官方認(rèn)證方法，近期報(bào)告表明，ISO 27701或可在近期改變這一現(xiàn)狀。
該做什么？
客戶(hù)若想雇傭供應(yīng)商代表自己處理和維護(hù)PII，應(yīng)考慮以合同的形式要求這些供應(yīng)商不僅遵從ISO 27001，還要遵從ISO 27701，或者在數(shù)據(jù)敏感度適用的情況下取得符合該標(biāo)準(zhǔn)的認(rèn)證。即使客戶(hù)不要求供應(yīng)商經(jīng)過(guò)獨(dú)立第三方的新標(biāo)準(zhǔn)合規(guī)認(rèn)證，可能也想要更新合同，確保供應(yīng)商能夠符合ISO 27701的要求。鑒于ISO 27701才剛發(fā)布，合同中也可寫(xiě)入供應(yīng)商符合新標(biāo)準(zhǔn)要求的合理時(shí)延。
已經(jīng)通過(guò)ISO 27001認(rèn)證，希望實(shí)現(xiàn)ISO 27701 要求的組織機(jī)構(gòu)，可以考慮采取下列步驟：
1．按照ISO 27701的要求對(duì)現(xiàn)有ISMS執(zhí)行漏洞評(píng)估，生成如何解決這些漏洞的行動(dòng)計(jì)劃。
2．對(duì)組織機(jī)構(gòu)收集的 PII執(zhí)行數(shù)據(jù)映射，了解所收集PII的范圍，弄清處理者共享和使用PII的方式。
3．依據(jù)上下文相關(guān)的內(nèi)部或外部因素，比如適用的隱私立法、規(guī)定、司法判決或合同要求等，確定組織機(jī)構(gòu)作為控制者和／或處理者的角色。
4．審核并更新隱私政策，確保含有所要求的信息。
5．制定適用于該組織機(jī)構(gòu)角色的策略和規(guī)程。
6．開(kāi)始規(guī)劃和實(shí)現(xiàn)設(shè)計(jì)隱私與默認(rèn)隱私原則。