ISO/IEC 27701誕生背景

數(shù)據(jù)濫用、數(shù)據(jù)竊取、隱私泄露以及“大數(shù)據(jù)殺熟”等數(shù)據(jù)安全問題呈現(xiàn)爆發(fā)趨勢(shì)。在此背景下，全球各個(gè)國家紛紛頒布相關(guān)法律法規(guī)，對(duì)數(shù)據(jù)安全與隱私保護(hù)相關(guān)問題進(jìn)行嚴(yán)格的規(guī)范與引導(dǎo)。

如歐盟保護(hù)個(gè)人數(shù)據(jù)的《General Data Protection Regulation》 (GDPR);美國的 《California Consumer Privacy Act》(CCPA)等。

為了應(yīng)對(duì)越來越多的個(gè)人數(shù)據(jù)泄露或?yàn)E用的情況，國際范圍迎來了隱私保護(hù)立法和建立標(biāo)準(zhǔn)熱潮。

1. GDPR

歐盟于2018年5月25日正式實(shí)施了《通用數(shù)據(jù)保護(hù)條例》 (《General Data Protection Regulation》,簡(jiǎn)稱《GDPR》)，是一項(xiàng)保護(hù)歐盟公民個(gè)人隱私和數(shù)據(jù)的法律，其適用范圍包括歐盟成員國境內(nèi)企業(yè)的個(gè)人數(shù)據(jù)、也包括歐盟境外企業(yè)處理歐盟公民的個(gè)人數(shù)據(jù)。

2. CCPA

美國已有多個(gè)州先在數(shù)據(jù)安全與隱私保護(hù)進(jìn)行了立法，其中最著名的要數(shù)2018年6月加州通過《加州消費(fèi)者隱私法案》( 《California Consumer Privacy Act》, 簡(jiǎn)稱《CCPA》)。該法案被稱為美國“最嚴(yán)厲和最全面的個(gè)人隱私保護(hù)法案”，將于2023年1月1日生效。

3. 網(wǎng)絡(luò)安全法

我國于2017年6月1日正式實(shí)施《中華人民共和國網(wǎng)絡(luò)安全法》(通常簡(jiǎn)稱《網(wǎng)安法》)?！毒W(wǎng)安法》是我國首部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律，包含的內(nèi)容十分豐富，一共包括7章79條，包含網(wǎng)絡(luò)運(yùn)行安全、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全、網(wǎng)絡(luò)信息安全等內(nèi)容。值得關(guān)注的是，《網(wǎng)安法》在數(shù)據(jù)(包括個(gè)人信息)安全與保護(hù)上也有諸多規(guī)定，例如第四十至四十五條。

ISO標(biāo)準(zhǔn)委員會(huì)以ISO 27001為基準(zhǔn)，以ISO 27552為藍(lán)本，建立了ISO 27701標(biāo)準(zhǔn)。

隱私信息管理體系ISO/IEC 27701標(biāo)準(zhǔn)解析

隨著社交媒體APP和物聯(lián)網(wǎng)設(shè)備在生活中的廣泛應(yīng)用，以及全球隱私法律法規(guī)的激增，諸如：《歐盟通用數(shù)據(jù)保護(hù)條例》(GDPR)、《加州消費(fèi)者隱私法》(CCPA)和《中國網(wǎng)絡(luò)安全法》(China network security Law)，隱私保護(hù)問題已然成為了當(dāng)前社會(huì)的焦點(diǎn)，這意味著組織現(xiàn)在面臨著來自客戶、最終用戶、投資者和監(jiān)管機(jī)構(gòu)的多重壓力，企業(yè)如何管理個(gè)人可識(shí)別信息(PII)或個(gè)人數(shù)據(jù)，如何確保隱私合規(guī)，都成為擺在企業(yè)面前亟待解決的新問題和新挑戰(zhàn)。

隱私的概念經(jīng)常被誤解或被錯(cuò)誤地對(duì)待。許多企業(yè)認(rèn)為，不將數(shù)據(jù)傳遞給第三方并確保其數(shù)據(jù)庫受密碼保護(hù)就足夠了。諸如“同意”、“托收目的”或“跨境轉(zhuǎn)移”等概念要么被忽視，要么不被理解。針對(duì)GDPR和CCPA的嚴(yán)厲罰款讓許多組織已經(jīng)意識(shí)到了這些風(fēng)險(xiǎn)，并開始注重其隱私保護(hù)。

2023年8月發(fā)布的隱私安全標(biāo)準(zhǔn)ISO/IEC 27701:2019.能幫助企業(yè)拓展ISO /IEC 27001體系對(duì)保護(hù)隱私的局限性，更全面、準(zhǔn)確、充分地應(yīng)對(duì)隱私保護(hù)及合規(guī)要求。

今天我們先來看看ISO/IEC 27701:2019 標(biāo)準(zhǔn)的結(jié)構(gòu)及其與 ISO/IEC 27001 和 ISO/IEC 27002之間的關(guān)系。

ISO/IEC 27701:2019的正式名稱為安全技術(shù)--ISO/IEC 27001 和 ISO/IEC 27002 對(duì)隱私信息管理的擴(kuò)展--要求和指南。其以ISO/IEC 27001 和 ISO/IEC 27002 對(duì)隱私信息管理的擴(kuò)展方式，為在組織范圍內(nèi)建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)隱私信息管理體系(PIMS)指定要求，并提供指南。

與ISO/IEC 27001 配合使用，是認(rèn)證要求和實(shí)施指南的組合體。 它是對(duì)ISO/IEC 27001 的擴(kuò)展，因其增加了附加的PIMS 相關(guān)要求，如條款5、附錄 A 和附錄 B。認(rèn)證要求在標(biāo)準(zhǔn)中共有67項(xiàng)，表述為'應(yīng)'。同時(shí)，為組織實(shí)施 PIMS，還增加了從ISO/IEC 27002 到 PIMS的附加指南，例如條款6、7和8.

ISO/IEC 27701:2019 標(biāo)準(zhǔn)的詳細(xì)結(jié)構(gòu)

條款 條款標(biāo)題 備注

1 范圍 標(biāo)準(zhǔn)的適用性

2 規(guī)范性引用文件 標(biāo)準(zhǔn)參考

3 術(shù)語、定義和縮寫

4 總則 標(biāo)準(zhǔn)結(jié)構(gòu)的描述

5 與 ISO/IEC 27001 相關(guān)的PIMS特定要求 在ISO/IEC 27001 中要求的PIMS特定要求

6 與 ISO/IEC 27002 相關(guān)的PIMS特定指南 在ISO/IEC 27002中，PIMS對(duì)控制點(diǎn)的特定指南

7 對(duì)PII控制者附加的ISO/IEC 27002指南 對(duì)PII控制者的附加ISO/IEC 27002指南

8 對(duì)PII處理者附加的ISO/IEC 27002指南 對(duì)PII處理者附加的ISO/IEC 27002指南

附錄 A (規(guī)范性附錄)PIMS特定參考控制目標(biāo)和控制(PII 控制者) 強(qiáng)制性控制，適用于數(shù)據(jù)控制者

附錄 B (規(guī)范性附錄)PIMS特定參考控制目標(biāo)和控制(PII 處理者) 強(qiáng)制性控制，適用于數(shù)據(jù)處理者

附錄 C 與ISO/IEC 29100的對(duì)照關(guān)系 非認(rèn)證的、信息性的附錄

附錄 D 與通用數(shù)據(jù)保護(hù)條例(GDPR)的對(duì)照關(guān)系

附錄 E 附錄 E(信息性)，與ISO/IEC 27018和ISO/IEC 29151 的對(duì)照關(guān)系

附錄 F 如何將ISO/IEC 27701 應(yīng)用于ISO/IEC 27001 和 ISO/IEC 27002

主要條款詳情：

條款5 與 ISO/IEC 27001 相關(guān)的PIMS特定要求

涵蓋了對(duì) ISO/IEC 27001:2013 條款4~10附加的要求，均為認(rèn)證要求。例如，如本標(biāo)準(zhǔn)中條款5.7.2 的表述：

ISO/IEC 27001:2013.9.2 中所述要求以及5.1 中所述的解釋均適用。

該標(biāo)準(zhǔn)不增加任何新的內(nèi)部審核要求，只要組織理解這是ISO/IEC 27001:2013 對(duì)處理個(gè)人可識(shí)別信息(PII)所可能增加風(fēng)險(xiǎn)的“信息安全”要求。

ISO/IEC 27701:2019對(duì)ISO/IEC 27001的以下條款增加了附加的要求：

4.1 理解組織及其環(huán)境

4.2 理解相關(guān)方的需求和期望

4.3 確定信息安全管理體系的范圍

6.1.2 信息安全風(fēng)險(xiǎn)評(píng)估

6.1.3 信息安全風(fēng)險(xiǎn)處置

條款6 與ISO/IEC 27002相關(guān)的PIMS特定指南

涵蓋了與ISO/IEC 27002有關(guān)的其他PIMS相關(guān)指南。例如，標(biāo)準(zhǔn)條款6.9.4.4(與 ISO/IEC 27001:2013 的12.4.4 時(shí)鐘同步相對(duì)應(yīng))不包含任何附加要求，因?yàn)闀r(shí)鐘同步與隱私風(fēng)險(xiǎn)沒有相關(guān)性

信息安全服務(wù)的優(yōu)勢(shì)

認(rèn)證2003年經(jīng)國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)批準(zhǔn)成立，中國合格評(píng)定國家認(rèn)可委員會(huì)認(rèn)可，是山東省具有獨(dú)立法人資格的老牌認(rèn)證機(jī)構(gòu)。成立18年來累計(jì)服務(wù)3.6萬家企事業(yè)單位，頒發(fā)證書超10萬張，山東省證書保有量第一。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202202/ccaa_33826.html