2019年8月,ISO组织正式发布了ISO/IEC27701,安全技术——扩展的ISO/IEC 27001和ISO/IEC 27002 隐私信息管理要求和指南。
ISO/IEC27701标准的正文由8个条款组成,其中:
条款5给出了ISO27001相关的PIMS要求
条款7给出了针对PII控制者的ISO27002扩展指南
附录A,针对PII控制者的PIMS特定的控制目标和控制措施
附录C,与ISO/IEC29100的对应
附录E,与ISO/IEC27018和ISO/IEC 29151的对应
ISO27701的前身为ISO/IEC 27552,由ISO/IEC技术委员会ISO/IEC JTC1/SC 27, Informationsecurity, cybersecurity and privacyprotection第五工作组开发,该工作组由来自世界各地的数据保护机构、安全机构、学术界和工业界的专家组成。
二、ISO27701认证的主要目标是什么
现在发布的ISO27701认证标准还实现了其他一些目的。一方面,它充当PIMS与ISMS或ISO27001之间关系和连接的概述。它还详述了所需的功能,并列出了PIMS数据处理器和控制器的隐私控制。在更大范围内,ISO27701认证将信息隐私要求映射到相关的ISO标准和GDPR。
ISO/IEC27701该标准为企业和其他组织提供了一个国际通用的隐私信息管理工具,对于降低企业隐私合规难度,便利企业提供合规证明,增强社会各方对企业的信任程度具有重要意义。
1)合规。通过明确对PII处理者的隐私保护要求,可以明确隐私保护管理合规目标,减轻组织合规负担的同时降低组织合规风险,ISO27701标准附录D中明确表示,单个隐私控制点可以满足GDPR中的多项要求,满足了ISO27701标准也就意味着基本满足 GDPR 的要求,而GDPR是众多隐私保护法规中为严格的,也就意味着满足了即将颁布的《隐私保护法》的系列要求。
3)PIMS认证可以传递信任。客户或合作伙伴,尤其是政府组织、金融机构作为承担隐私风险的机构,通常会要求Pll处理者提供相关证据(如PIA分析报告)。从而证明P1处理者的产品能符合话用的隐私管理体系要求。通过得到授权的第三方机构对P1外理者进行甚干的宙核,可以极大地降低合规沟通成本,这种合规透明度的提高对干组织战略和业务决策至关重要,同时PIMS认证中有助于向公众传达组织的可信度。
上海浙江杭州宁波江苏苏州南京南通徐州安徽合肥安庆江西南昌赣州福建福州泉州湖北武汉荆州襄阳湖南长沙湘潭贵州贵阳云南昆明广西南宁甘肃兰州宁夏银川陕西西安山西太原山东济南青岛烟台北京天津辽宁沈阳吉林长春黑龙江哈尔滨内蒙古包头新疆乌鲁木齐ISO27701隐私信息管理体系和ISO27017云服务信息安全管理体系和ISO27018个人可识别信息安全管理体系