ISO27701：2019-信息安全隱私保護管理體系（PIMS）

--是可以幫助組織在不斷變化的監(jiān)管環(huán)境中證明個人數(shù)據(jù)保護和隱私符合不同法律，認證可以是一個有用的工具，為組織增加對隱私和相關(guān)義務(wù)承諾的可信度。

---通過ISO / IEC 27701認證，可以證明數(shù)據(jù)存儲與處理的有效性，并用來評估整個供應(yīng)鏈中組織之間交換個人信息的風(fēng)險。

--通過提供必要的證據(jù)，證明組織依照法律處理其客戶的個人信息，包括跨境數(shù)據(jù)流的情況，可以幫助證明組織遵守GDPR等數(shù)據(jù)隱私法。

--證明遵守法規(guī)的認證機制在很大程度上增加了組織間對如何處理個人數(shù)據(jù)的信任，同時通過在組織之間提供保證來創(chuàng)造商業(yè)機會。

ISO/IEC 27701標準的發(fā)布，填補了目前隱私信息管理體系的空白，將隱私保護的原則、理念和方法，融入到信息安全保護體系中，并且對PII控制者和PII處理者進行了較為詳細且落地性強的規(guī)定，給企業(yè)在隱私保護和信息安全方面給出了指導(dǎo)建議。隱私保護的重要性被不斷強調(diào)，ISO/IEC 27701標準也隨之出臺

威脅重重，數(shù)據(jù)濫用、數(shù)據(jù)竊取、隱私泄露以及“大數(shù)據(jù)殺熟”等數(shù)據(jù)安全問題呈現(xiàn)爆發(fā)趨勢。在此背景下，全球各個國家紛紛頒布相關(guān)法律法規(guī)，對數(shù)據(jù)安全與隱私保護相關(guān)問題進行嚴格的規(guī)范與引導(dǎo)。

如歐盟保護個人數(shù)據(jù)的《General Data Protection Regulation》 (GDPR)；美國的 《California Consumer Privacy Act》(CCPA)等。

為了應(yīng)對越來越多的個人數(shù)據(jù)泄露或濫用的情況，國際范圍迎來了隱私保護立法和建立標準熱潮。

三、ISO/IEC 27701標準重點解讀

ISO 27701嵌套在ISO 27000系列中，并要求符合ISO 27001標準。ISO 27701擴展了ISO 27001的要求，在原有管理、實施、操作、監(jiān)控、審查和不斷改進ISMS的流程基礎(chǔ)上，著重考慮了對于企業(yè)所持有PII的隱私保護。同時ISO 27701對ISO 27002實施指南中的隱私性進行了解釋和擴展，除業(yè)務(wù)連續(xù)性以外的所有控制域均增加了關(guān)于PII隱私的實施指南。ISO 27701分別從PII控制者和PII處理者的角度，補充說明了收集和處理PII的條件、對PII主體的隱私保護義務(wù)、Privacy by design and privacy by default以及PII共享、轉(zhuǎn)移和披露的相關(guān)要求。

ISO 27701在對ISO 27001/27002的擴展要求中，除將“信息安全”替換為“信息安全和隱私”外，同時擴展了相關(guān)控制域中的控制項。

ISO 27701 5.4規(guī)劃中指出，組織應(yīng)在PIMS范圍內(nèi)應(yīng)用信息安全風(fēng)險評估流程來識別有可能會造成機密性、完整性和可用性喪失的相關(guān)風(fēng)險；組織應(yīng)在PIMS范圍內(nèi)應(yīng)用隱私風(fēng)險評估流程來識別與PII處理相關(guān)的風(fēng)險；組織應(yīng)在整個風(fēng)險評估過程中確保信息安全與PII保護之間的關(guān)系得到適當(dāng)管理。組織可以根據(jù)自身PIMS情況，對信息安全和隱私保護進行統(tǒng)一流程的綜合評估，也可以根據(jù)實際需要采用獨立的流程進行分別評估。

ISO 27002 6.3信息安全組織中指出，組織應(yīng)指定一個聯(lián)系人處理客戶的相關(guān)PII事務(wù)；當(dāng)組織是PII控制者時，需為PII主體指定PII聯(lián)系人負責(zé)相關(guān)流程；同時組織應(yīng)指定一名或多名負責(zé)制定、實施、維護和監(jiān)督組織范圍內(nèi)治理以及隱私計劃的人員，以確保處理PII相關(guān)事務(wù)時的合規(guī)性。負責(zé)人應(yīng)酌情考慮a) 獨立并直接向組織的適當(dāng)管理層報告，以確保有效管理隱私風(fēng)險；b) 參與管理與處理PII有關(guān)的所有問題；c) 成為數(shù)據(jù)保護立法，監(jiān)管和實踐方面的專家；d) 充當(dāng)監(jiān)管機構(gòu)的聯(lián)絡(luò)點；e) 告知頂級管理層和組織員工在處理PII方面的義務(wù)；f) 就組織進行的隱私影響評估提供建議。要求組織需要根據(jù)自身角色配置響應(yīng)的PII管理專職人員。

ISO 27701中第7章和第8章分別對PII控制者和處理者的評估增加了額外指導(dǎo)，包括收集和處理PII的條件等控制域。增加該章節(jié)可以明確標準對于PII控制者和處理者收集和處理PII的條件的限定范圍，目的是使組織可以根據(jù)適用的司法管轄區(qū)的法律依據(jù)，以明確定義的、合法目的，確定并記錄PII處理是合法的，且具有法律依據(jù)。標準明確需要通過識別和記錄PII處理目的、確定合法依據(jù)、確定何時以及如何獲得許可、獲取并記錄許可、隱私影響評估、與PII處理者簽署合同、明確聯(lián)合PII控制者、維護與處理PII有關(guān)的記錄8個方面對PII控制者進行管理和評估，通過客戶協(xié)議、組織目的、營銷和廣告使用、侵權(quán)指令、客戶義務(wù)、與處理PII有關(guān)的記錄6個方面對PII處理者進行管理和評估。該額外指導(dǎo)內(nèi)容要求組織在明確自身身份的基礎(chǔ)上，開展對收集與處理PII的條件相關(guān)的管理建設(shè)。

ISO 27701的目標是通過對于隱私保護的控制實現(xiàn)對ISMS進行補充，使企業(yè)建立PIMS，實現(xiàn)有效的隱私管理，從而使企業(yè)獲益。

聲明：以上部分內(nèi)容來自ATLAS Academy

四、ISO/IEC 27701認證收益

ISO/IEC 27701該標準為企業(yè)和其他組織提供了一個國際通用的隱私信息管理工具，對于降低企業(yè)隱私合規(guī)難度，便利企業(yè)提供合規(guī)證明，增強社會各方對企業(yè)的信任程度具有重要意義。實施隱私信息管理，至少獲得如下收益：

1）合規(guī)。通過明確對PII處理者的隱私保護要求，可以明確隱私保護管理合規(guī)目標，減輕組織合規(guī)負擔(dān)的同時降低組織合規(guī)風(fēng)險，ISO27701標準附錄D中明確表示，單個隱私控制點可以滿足GDPR中的多項要求。滿足了 ISO27701 標準也就意味著基本滿足 GDPR 的要求，而 GDPR 是眾多隱私保護法規(guī)中最為嚴格的，也就意味著滿足了即將頒布的《隱私保護法》的系列要求。

2）完善數(shù)據(jù)安全能力和風(fēng)險管理。實現(xiàn)持續(xù)的完善產(chǎn)品的非功能性要求，進而展示出產(chǎn)品在處理個人隱私安全、安全治理的績效，通過流程分析，在流程的輸入、輸出、控制過程中，識別、分析、驗證隱私保護需求、傳遞隱私保護價值，減少甚至消除隱私泄露的風(fēng)險，如：體現(xiàn)為采用隱私控制技術(shù)（如日志脫敏、數(shù)據(jù)庫加密）、產(chǎn)品架構(gòu)（如加密芯片）、技術(shù)路徑（如完整性校驗）等。

3）PIMS認證可以傳遞信任。客戶或合作伙伴，尤其是政府組織、金融機構(gòu)作為承擔(dān)隱私風(fēng)險的機構(gòu)，通常會要求PII處理者提供相關(guān)證據(jù)（如PIA分析報告），從而證明PII處理者的產(chǎn)品能符合適用的隱私管理體系要求。通過得到授權(quán)的第三方機構(gòu)對PII處理者進行基于國際標準的審核，可以極大地降低合規(guī)溝通成本，這種合規(guī)透明度的提高對于組織戰(zhàn)略和業(yè)務(wù)決策至關(guān)重要，同時PIMS認證也有助于向公眾傳達組織的可信度。

中標管理學(xué)院助力信息安全/汽車數(shù)據(jù)交換安全（TISAX)/隱私保護/業(yè)務(wù)連續(xù)/IATF6949管理標準的落地方案解決，專國際管理標準在工廠落地的研究、培訓(xùn)和項目建設(shè)。傳道信息安全、云安全、敏感信息保護、數(shù)據(jù)治理，傳承工業(yè)化精益管理包括質(zhì)量、環(huán)境、職業(yè)?健康安全、能源和碳排放方案落地；致力實驗室認可/測量體系，ESD等領(lǐng)域落地。經(jīng)過多年的發(fā)展，中標管理學(xué)院從最初單一的認證培訓(xùn)課程提供者，逐漸發(fā)展成為一個多元化的培訓(xùn)與提供全面解決方案的專業(yè)服務(wù)機構(gòu)。如需進一步了解詳細信息。

敬請登錄其下網(wǎng)址： m.wqjxjyw.cn