ISO/IEC 27701誕生背景
數據濫用、數據竊取、隱私泄露以及“大數據殺熟”等數據安全問題呈現爆發趨勢。在此背景下,全球各個國家紛紛頒布相關法律法規,對數據安全與隱私保護相關問題進行嚴格的規范與引導。
如歐盟保護個人數據的《General Data Protection Regulation》 (GDPR);美國的 《California Consumer Privacy Act》(CCPA)等。
為(wei)了應對越來越多的個人數據泄(xie)露(lu)或濫用����(yong)的情況,國(gu�������o)際范圍迎來了隱私保護立法和建立標準熱潮。
1. GDPR
歐盟于2018年5月25日正式實施了《通用數據保護條例》 (《General Data Protection Regulation》,簡稱《GDPR》),是一項保護歐盟公民個人隱私和數據的法律,其適用范圍包括歐盟成員國境內企業的個人數據、也包括歐盟境外企業處理歐盟公民的個人數據。
2. CCPA
美國已有多個州先在數據安全與隱私保護進行了立法,其中最著名的要數2018年6月加州通過《加州消費者隱私法案》( 《California Consumer Privacy Act》, 簡稱《CCPA》)。該法案被稱為美國“最嚴厲和最全面的個人隱私保護法案”,將于2020年1月1日生效。
3. 網絡安全法
我國于2017年6月1日正式實施《中華人民共和國網絡安全法》(通常簡稱《網安法》)。《網安法》是我國首部全面規范網絡空間安全管理方面問題的基礎性法律,包含的內容十分豐富,一共包括7章79條,包含網絡運行安全、關鍵信息基礎設施的運行安全、網絡信息安全等內容。值得關注的是,《網安法》在數據(包括個人信息)安全與保護上也有諸多規定,例如第四十至四十五條。
ISO標(biao)準委員會以ISO 27001為基準,以ISO 27552為藍本,建立(li)了ISO 27701標(biao)準。
��������
隱私信息管理體系ISO/IEC 27701標準解析
隨著社交媒體APP和(he)物聯網設備(bei)在生(sheng)活中的(de)(de)(de)廣泛應(ying)用,以及全(quan)球隱(yin)私法(fa)律法(fa)規的(de)(de)(de)激增(zeng������),諸如:《歐盟(meng)通用數據保(bao)護(hu)����(hu)條例》(GDPR)、《加州消費者隱(yin)私法(fa)》(CCPA)和(he)《中國(guo)網絡安全(quan)法(fa)》(China network security Law),隱(yin)私保(bao)護(hu)(hu)問題已(yi)然成為了當(dang)前社會的(de)(de)(de)焦點,這意味著組織(zhi)現(xian)在面臨著來自客戶、最終用戶、投資者和(he)監管機構的(de)(de)(de)多重壓力,企(qi)業如何(he)管理個(ge)人(ren)可識別信息(xi)(PII)或個(ge)人(ren)數據,如何(he)確保(bao)隱(yin)私合規,都(dou)成為擺在企(qi)業面前亟待解決的(de)(de)(de)新(xin)問題和(he)新(xin)挑戰。
隱(yin)私的概(gai)念經(jing)常被誤解(jie)或被錯誤地(di)對(dui)待。許多企業認為,不將(jiang)數據傳遞給第(di)三方并確(que)保其數據庫受密碼保護就足夠了。諸如(ru)“同(tong)意”、“托(tuo)收目的”或“跨(kua)境轉移”等概(gai)念要么被忽視,要么不被理解(ji������e)。針對(dui)GDPR和CCPA的嚴厲(li)罰(fa)款讓許多組織已經(jing)意識(shi)到了這些�������風險,并開(kai)始注重其隱(yin)私保護。
2019年(nian)8月(yue)發布(bu)的(de)隱私安全標(biao)準ISO/IEC 27701:2019,能幫助(zhu)企(qi)業拓(tuo)展(zhan)ISO /IEC 27001體系對保護隱私的(de)局限(xian)性,更全面、準確(que)、充(chong)分地應對隱�����私保護及合規(gui)要求(qiu)。
今天(tian)我們先來看看ISO/IEC 27701:2019 標(biao)準的(de)結構及其與 ISO/IEC 27001 和(he) ISO/������IEC 27002之間的(de)關系。
ISO/IEC 27701:2019的正式名稱為安全技術--ISO/IEC 27001 和 ISO/IEC 27002 對(dui)隱私(si)信(xin)(xin)息管(guan)理(li)(li)的擴展--要求(qiu)和指南。其以ISO/IEC 27001 和 ISO/IEC 27002 對(dui)隱私(si)信(xin)(xin)息管(guan)理(li)(li)的擴展方式,為在組織范圍內建(jian)立、實(shi)施(shi)、維護和持續改(gai)進隱私(si)信(xin)(xin)息管(guan)������理(li)(li)體系(PIMS)指定要求(qiu),并提供指南。
與ISO/IEC 27001 配合(he)使用,是(shi)(shi)認證要(yao)求和實施指南的組合(he)體。 它是(shi)(shi)對ISO/IEC 27001 的擴展(zhan),因其增加(�������jia)了(le)附(fu)加(jia)的PIMS 相(xiang)關要(yao)求,如條款(kuan)(kuan)5、附(fu)錄(lu) A 和附(fu)錄(lu) B。認證要(yao)求在標準中共有(you)67項,表(biao)述為'應(ying)'。同時,為組織(zhi)實施 PIMS,還增加(jia)了(le)從ISO/IEC 27002 到 PIMS的附(fu)加(jia)指南,例如條款(kuan)(kuan)6、7和8。
ISO/IEC 27701:2019 標準的詳細結構
條款 條款標題 備(bei)注
1 范圍 標準的(de)適用(yong)性(xing)
2 規范性引(yin)用文件 標準參(can)考(kao)
3 術語、定(ding)義和(he)縮寫
4 總則 標準結構的(de)描述
5 與 ISO/IEC 27001 相關(guan)的(de)PIMS特(te)定要(yao)(yao)求(qiu) 在ISO/IEC 27001 中要(yao)(y��������ao)求(qiu)的(de)PIMS特(te)定要����(yao)(yao)求(qiu)
6 與 ISO/IEC 27002 相�����關�������的PIMS特定指南 在ISO/IEC 27002中(zhong),PIMS對控制點(dian)的特定指南
7 對PII控(kong)制者(zhe)附加的(de)ISO/IEC 27002指南 對PII控(kong)制者(zhe)的(de)附加ISO�����/IEC 270�������02指南
8 對(dui)PII處理者�����(zhe)附加的ISO/IEC 27002指南 對(du�������i)PII處理者(zhe)附加的ISO/IEC 27002指南
附錄����(lu) A (規范性附錄(lu))PIMS特(te)定(ding)參考(kao)控(kong)制(zhi)(zhi)目標(biao)和(he)控(kong)制(zhi)(zhi)(PII 控(kong)制(zhi)(zhi)者) 強制(zhi)(zhi)性控(kong)制(zhi)(zhi),適(shi)用于數據控(kong)制(zhi)(zhi)者
附錄 B (規范性附錄)PIMS������特定參(can)考控(kong)制目標和控(kong)制(PII 處(chu)理者) 強制性控(kong)制,適用于數據處(c������hu)理者
附錄(l�����u) C 與ISO/IEC 29100的(de)(de)對照關系 非認證(zhe�������ng)的(de)(de)、信息(xi)性的(de)(de)附錄(lu)
附錄(lu) D 與通用(yong)數據保護條(tiao)例(GDPR)的�������(de)對照關系
附錄 E 附錄 ��������;E(信息性),與ISO/IEC 27018和ISO/IEC 2�����9151 的(de)對照關系
附錄&n��������bsp;F 如何將ISO/IEC 27701 應用于ISO/IEC 27001 和 ISO/IEC 27002
主要條款詳情:
條款5 與 ISO/IEC 27001 相關的PIMS特定要求
涵蓋了對 ISO/IEC 27001:2013 條(tiao)(tiao)款(kuan)4~10附加的(de)要(yao)求(qiu),均為認(ren)證要(yao)求(qiu)。例如,如本標準中(zhong)條(tiao)(tiao)款(�������kuan)5.7.2 的�����(de)表(biao)述(shu):
IS������O/IEC 27001:2013,9.2 中所(suo)述要求以(yi)及5.1 中所(suo)述的解(jie������)釋均(jun)適用。
該標準不(bu)增(zeng)加(jia)任何新的������內部審核要(yao)求,只要(yao)組織理解這是ISO/IEC 27001:2013 對處(chu)理個人可識(shi)別信息(PII)所可能增(zeng�������)加(jia)風險的“信息安全(quan)”要(yao)求。
ISO/IEC 27701:2019對(dui)ISO/IEC 27001的(de)以下(xia)條款增加(jia)(jia)了附加(jia)(jia)的(de)要求(qi����u):
4.1 理(li)解組織及其環境
4.2 理解相(xiang)關方的需求(qiu)和期望
4.3 確(que)定信息(xi)安(an)全管理體系的范圍(wei)
6.1.2 信(xin)息安全風(feng)險評(ping)估
6.1.3 信息安全風險處置(zhi)
條款6 與(yu)ISO/IEC 27002相關的PIMS特定指南
涵蓋了與ISO/IEC 27002有關(guan)的其(qi)他PIMS相(xiang)(xiang)關(guan)指南(nan)。例如,標準條款6.9.4.4(與 ISO/IEC 27001:2013 的12.4.4 時鐘同步相(xiang)(xiang)對(dui)應)不包含任何附加要求(qiu)���������,因為(wei)時鐘同步與隱私(si)風險沒有相������(xiang)(xiang)關(guan)性(xing)
世通信息安全服務的優勢
世通認證2003年經國家認證認可監督管理委員會批準成立,中國合格評定國家認可委員會認可,是山東省具有獨立法人資格的老牌認證機構。成立18年來累計服務3.6萬(wan)家企事業單(dan)位(wei),頒發證書超10萬張,山東省證書保(bao)有量第一。
世通信息(xi)安全服務中心:
1、已成功為全省一百多家企業提供信息安全與信息技術咨詢服務
2、應各地(di)軍民融(rong)合(he)辦要求,已(yi)成功舉辦二十余場涉密溝(gou�������)通會,成為企(qi)業涉密參軍路(lu)上的(de)好(h����ao)幫手
世通認證服務優勢
世通認證(zheng)2003年經國��������(guo)家認證(zheng)認可(ke)(ke)監督管理(li)委(wei)員會(hui)批(pi)準成(cheng)(cheng)立(li)(li),中國(guo)合格(ge)評定(ding)國(guo)家認可(ke)(ke)委(wei)員會(hui)認可(ke)(ke),是山東省(sheng)具(ju)有(you)獨立(li)(li)法人資格(ge)的老牌認證(zheng)機構(gou)。成(cheng)(cheng)立(li)(li)21年來(lai�����)累計服務3.6萬(wan)家企事業單位(wei),在(zai)山東省(sheng)證(zheng)書保有(you)量第一(yi)。
山東世通集團總部位于青島,占地15畝,擁有18000㎡獨立的檢驗檢測認證辦公大樓,總投資一億元,是中(zhong)國認證認可協(xie)會(hui)(hui)理事單位(wei)(wei),青(qing)島市企業參與(yu)國防建設促進會(hui)(hui)副(fu)會(hui)(hui)長單位(wei)(wei),中(zhong)國節(jie)能協(xie)會(hui)(hui)碳(tan)中(zhong)和(he)專(zhuan)業委員會(hui)(hui)副(fu)主(zhu)任會(hui)(hui)員單位(wei)(wei),青(qing)島節(jie)能協(xie)會(hui)(hui)碳(tan)中(zhong)和(he)專(�����zhuan)業委員會(hui)(hui)副(fu)主(zhu)任會(hui)����(hui)員單位(wei)(wei)。
世通國際地址
搜索
客戶案例
批準號
認可號
