盡管GDPR生效已超過一年，但迄今為止，還沒有針對(duì)它的認(rèn)證標(biāo)準(zhǔn)。 Coalfire的David Forman探索了新發(fā)布的ISO 27701如何與GDPR保持一致，以及將其用作GDPR認(rèn)證標(biāo)準(zhǔn)的可能性和后果。

2023年8月6日，國(guó)際標(biāo)準(zhǔn)化組織（ISO）提前五個(gè)月發(fā)布了ISO / IEC 27701：2019（ISO 27701）標(biāo)準(zhǔn)。 此版本是第一個(gè)國(guó)際隱私標(biāo)準(zhǔn)； 它概述了實(shí)施組織計(jì)劃（稱為隱私信息管理系統(tǒng)（PIMS））以管理對(duì)個(gè)人身份信息（PII）進(jìn)行處理的要求。

ISO 27701是第一個(gè)引用非ISO實(shí)際開發(fā)的外部框架或出版物的ISO標(biāo)準(zhǔn)。 在這種情況下，外部參考不過是標(biāo)題為歐盟通用數(shù)據(jù)保護(hù)條例（ GDPR ）的標(biāo)題。 考慮到隱私問題的歷史和現(xiàn)狀，全球隱私法規(guī)，實(shí)施以及ISO 27701的當(dāng)前通過，必須考慮ISO 27701是否可以成為GDPR的認(rèn)證途徑。

要了解該標(biāo)準(zhǔn)對(duì)證明遵守隱私規(guī)則可能產(chǎn)生的影響，我們必須首先研究自GDPR引入以來監(jiān)管機(jī)構(gòu)對(duì)隱私觀點(diǎn)的演變，這在為數(shù)據(jù)主體權(quán)利設(shè)定新的基準(zhǔn)和解釋方面具有變革性。

自2018年5月生效以來，由于人們認(rèn)為對(duì)PII的保護(hù)不當(dāng)或疏忽，違反GDPR的行為對(duì)谷歌，F(xiàn)acebook，萬豪和英國(guó)航空等公司造成了巨額罰款。

為了捍衛(wèi)數(shù)據(jù)保護(hù)機(jī)構(gòu)（希望證明其執(zhí)行GDPR的能力）所針對(duì)的這些早期示例：

如果無法完全減輕風(fēng)險(xiǎn)的定義，那么這些跨國(guó)公司如何獲得任何保證，以確保自己已盡力遵守該法律？

現(xiàn)代安全員應(yīng)該客觀地展示什么，以向董事會(huì)保證他們具有可接受的保護(hù)水平？

如果仍然普遍將安全性和隱私保護(hù)誤認(rèn)為是同一控制活動(dòng)的輸出，那么數(shù)據(jù)保護(hù)官（DPO）的這一新角色實(shí)際上會(huì)產(chǎn)生什么影響？

組織已經(jīng)嘗試對(duì)GDPR進(jìn)行進(jìn)一步的解釋和澄清，盡管GDPR第42條明確規(guī)定了“認(rèn)證機(jī)制”，但仍沒有認(rèn)可的確定合格性的方法（但未闡明）。

隨著越來越多的數(shù)據(jù)保護(hù)機(jī)構(gòu)（如國(guó)家信息自由委員會(huì)（CNIL）和信息專員辦公室（ICO））面臨壓力，要求它們迅速采取調(diào)查行動(dòng)并就GDPR的解釋提供評(píng)論，CNIL的出現(xiàn)是非常特殊的法國(guó)國(guó)家數(shù)據(jù)保護(hù)局，在上個(gè)月的標(biāo)準(zhǔn)制定會(huì)議上在新加坡舉行的技術(shù)委員會(huì)中派代表參加了會(huì)議，討論了ISO 27701的最終修訂和發(fā)布。

在檢查會(huì)議記錄時(shí)，主要討論重點(diǎn)是通過重新編號(hào)國(guó)際標(biāo)準(zhǔn)并將這些新要求映射到GDPR來推動(dòng)PIMS的快速采用。 技術(shù)委員會(huì)能夠（也許很方便）使GDPR中的所有條款與ISO 27701保持一致，但第43條除外，該條款詳細(xì)規(guī)定了為GDPR提供認(rèn)證的機(jī)構(gòu)或各種認(rèn)證計(jì)劃的要求，以確保標(biāo)準(zhǔn)審核員保持某種形式的統(tǒng)一。

盡管ISO 27701尚不受英國(guó)認(rèn)證服務(wù)局（UKAS）或ANSI國(guó)家認(rèn)證委員會(huì)（ANAB）等認(rèn)證機(jī)構(gòu)的監(jiān)管，但盡管未定義既定的計(jì)劃，但預(yù)計(jì)認(rèn)證機(jī)構(gòu)將開始根據(jù)這一新的國(guó)際標(biāo)準(zhǔn)進(jìn)行審核在國(guó)際認(rèn)證論壇（IAF）級(jí)別。

在許多方面，該認(rèn)證機(jī)制已經(jīng)過時(shí)，因?yàn)槎x該計(jì)劃的法律已經(jīng)生效了一年多。 如果通過任何數(shù)據(jù)保護(hù)機(jī)構(gòu)的認(rèn)可，PIMS成為“ GDPR認(rèn)證”的代名詞，組織將最終擁有一種方法，可以通過第三方審核客觀地證明其符合性。

此外，通過定期獨(dú)立檢查的經(jīng)認(rèn)證合規(guī)計(jì)劃，將對(duì)該行業(yè)產(chǎn)生許多下游影響，包括在GDPR相關(guān)調(diào)查中提供更好的辯護(hù)； 對(duì)隱私法，產(chǎn)品和技術(shù)支持進(jìn)行更詳盡的說明； 以及更多客觀信息，供保險(xiǎn)承保人確定風(fēng)險(xiǎn)。

這項(xiàng)新標(biāo)準(zhǔn)是對(duì)與隱私相關(guān)的風(fēng)險(xiǎn)進(jìn)行持續(xù)管理的重要里程碑，并且是隨著組織環(huán)境的發(fā)展而提倡成熟流程的替代規(guī)范性參考。 由于現(xiàn)有認(rèn)可要求與那些在GDPR中提供認(rèn)證的機(jī)構(gòu)詳細(xì)規(guī)定的條款重疊，因此合格評(píng)定機(jī)構(gòu)可能會(huì)被利用來對(duì)該新標(biāo)準(zhǔn)進(jìn)行立即審核和評(píng)估。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202008/ccaa_5948.html