盡管只能根據(jù)ISO 27001要求而不是當(dāng)前根據(jù)ISO 27701來(lái)授予認(rèn)可的認(rèn)證，但是日益受到監(jiān)管的安全和隱私格局以及對(duì)企業(yè)的網(wǎng)絡(luò)攻擊的急劇增加，無(wú)論規(guī)模大小，都應(yīng)僅鼓勵(lì)組織采用國(guó)際框架例如ISO 27001和ISO 27701。

獨(dú)立認(rèn)可的認(rèn)證可以支持政府資助項(xiàng)目的競(jìng)標(biāo)，為客戶(hù)提供安全實(shí)踐的證明，并向董事會(huì)和監(jiān)管機(jī)構(gòu)保證，組織將根據(jù)此國(guó)際框架和其他法律規(guī)定對(duì)數(shù)據(jù)隱私負(fù)責(zé)。

在過(guò)去的十年中，隱私和網(wǎng)絡(luò)安全一直是董事會(huì)層面的問(wèn)題，但是高層承諾仍然是一個(gè)挑戰(zhàn)。隨著具有重大影響的數(shù)據(jù)保護(hù)法律的出臺(tái)，我們應(yīng)該看到比以往更多的組織采用國(guó)際認(rèn)可的標(biāo)準(zhǔn)，例如ISO 27001及其新的擴(kuò)展。

通過(guò)對(duì)ISO 27001的認(rèn)證，組織可以證明其已采取適當(dāng)措施來(lái)履行其法律和法規(guī)義務(wù)，以減少和管理數(shù)據(jù)安全風(fēng)險(xiǎn)。

什么是ISO 27701？

2023年8月6日，國(guó)際標(biāo)準(zhǔn)化組織（ISO）和國(guó)際電工委員會(huì)（IEC）發(fā)布了ISO / IEC 27701（ISO 27701），這是ISO / IEC 27001和ISO / IEC 27002的隱私擴(kuò)展，旨在幫助組織保護(hù)和控制他們處理的個(gè)人信息。 類(lèi)似于現(xiàn)有的ISO標(biāo)準(zhǔn)ISO 27701補(bǔ)充，此新的ISO標(biāo)準(zhǔn)可能成為組織保護(hù)個(gè)人身份信息（PII）的事實(shí)上的護(hù)理標(biāo)準(zhǔn)，并且可以用來(lái)證明其遵守全球隱私法規(guī)，包括通用數(shù)據(jù)保護(hù)法規(guī)（EU）2016/679（GDPR）。

這一新標(biāo)準(zhǔn)是實(shí)現(xiàn)安全合規(guī)的“錦上添花”。 眾所周知的ISO 27001構(gòu)成了基礎(chǔ)，而新的ISO 27701則在此基礎(chǔ)上進(jìn)行了構(gòu)建，以提供一套全面的信息安全和個(gè)人信息保護(hù)控制措施。

ISO 27701最初開(kāi)發(fā)為ISO / IEC 27552，它為建立，實(shí)施，維護(hù)和持續(xù)改進(jìn)隱私信息管理系統(tǒng)（PIMS）提供了特定要求和指導(dǎo)，作為對(duì)ISO 27001中定義的靈活信息安全管理系統(tǒng)（ISMS）的擴(kuò)展。除了信息安全之外，還應(yīng)考慮到處理PII所需的隱私保護(hù)。 像ISO 27001標(biāo)準(zhǔn)一樣，ISO 27701并不希望組織在所有情況下都采用每種控件。 相反，它要求組織了解處理PII的特定上下文，并以適合其處理活動(dòng)的方式調(diào)整特定的控件集以及這些控件的相關(guān)實(shí)現(xiàn)。

為了更好地理解新標(biāo)準(zhǔn)，應(yīng)該理解兩個(gè)關(guān)鍵術(shù)語(yǔ)：控制器和處理器。 這些術(shù)語(yǔ)可在包括GDPR在內(nèi)的許多隱私法律和法規(guī)中找到。 通常，“控制者”是指示首先收集和處理PII的原因的實(shí)體，“處理者”是負(fù)責(zé)代表該個(gè)人處理此類(lèi)數(shù)據(jù)的獨(dú)立法律實(shí)體（即，不是雇員）?？刂破?。

新發(fā)布的標(biāo)準(zhǔn)既適用于PII的控制器（以及聯(lián)合控制器），也適用于PII的處理器（包括子處理器），而不管其運(yùn)營(yíng)所在的管轄區(qū)和部門(mén)如何，并且還包括對(duì)GDPR和ISO / IEC的映射29100，ISO / IEC 27018和ISO / IEC 29151安全框架。 應(yīng)預(yù)料到將ISO 27701要求映射到其他隱私法律，例如2018年《加利福尼亞消費(fèi)者隱私法案》（CCPA），GLBA和HIPAA，并將通過(guò)提供證明遵守這些監(jiān)管制度的通用標(biāo)準(zhǔn)來(lái)幫助組織。

下面提供了適用于控制器和處理器的某些關(guān)鍵ISO 27701關(guān)鍵要求的高級(jí)概述。

適用于控制器和處理器的要求

機(jī)密性：被授權(quán)訪問(wèn)PII的個(gè)人必須簽署保密協(xié)議。

分析風(fēng)險(xiǎn)：必須進(jìn)行隱私風(fēng)險(xiǎn)評(píng)估以識(shí)別PII處理風(fēng)險(xiǎn)。

監(jiān)督：組織必須任命一個(gè)負(fù)責(zé)制定，實(shí)施，維護(hù)和監(jiān)視其治理和隱私計(jì)劃的人員。

培訓(xùn)：需要對(duì)有權(quán)使用PII的人員進(jìn)行隱私意識(shí)培訓(xùn)。

內(nèi)部流程：組織必須采用各種政策和程序，例如針對(duì)違反PII的事件響應(yīng)計(jì)劃。

保持記錄：ISO 27701要求組織保留所有PII處理活動(dòng)的記錄，包括管轄區(qū)之間的PII轉(zhuǎn)移和向第三方的披露。

控制器特定要求

隱私權(quán)聲明：組織必須提供隱私政策，其中包含有關(guān)PII收集，使用和處理的特定信息。

處理器合同要求：組織必須與處理者簽訂書(shū)面合同，處理特定項(xiàng)目，例如保護(hù)PII，將處理限制為收集PII的特定目的，并提供違反PII的通知。

個(gè)人權(quán)利： ISO 27701要求組織實(shí)施各種機(jī)制，以容納個(gè)人訪問(wèn)，更正和刪除其PII的權(quán)利，以及反對(duì)或限制PII的處理等。

設(shè)計(jì)和默認(rèn)情況下的隱私： 組織必須采取措施，通過(guò)設(shè)計(jì)使隱私原則和默認(rèn)情況下的隱私原則付諸實(shí)踐。

處理器特定要求

加工限制：組織必須僅根據(jù)控制器或處理器的書(shū)面說(shuō)明來(lái)處理PII（取決于客戶(hù)的角色）

協(xié)助個(gè)人權(quán)利：ISO 27701要求加工商采取措施，協(xié)助客戶(hù)遵守個(gè)人權(quán)利。

轉(zhuǎn)讓和披露：加工商必須提前將司法管轄區(qū)之間的PII轉(zhuǎn)移或其任何預(yù)期變更告知客戶(hù)。

分包商：ISO 27701要求處理器僅根據(jù)客戶(hù)合同的條款委聘分包商處理PII。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢(xún)，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢(xún)、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專(zhuān)業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專(zhuān)利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專(zhuān)利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專(zhuān)利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專(zhuān)利的轉(zhuǎn)讓代理查詢(xún)法律法規(guī)，咨詢(xún)輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://www.1cjaei.cn/zs/202008/ccaa_5927.html