ISO 27701隐私资讯管理体系认证标准正式发布

文章来源：DQSAP 编辑：北京华道众合咨询公司

      2019年8月，国际标准化组织ISO和国际电工委员会IEC联合正式发布了全新个人信息管理体系（PIMS）国际标准ISO/IEC 27701。该标准是在隐私保护方面对 ISO/IEC 27001 和ISO/IEC 27002 的扩展，针对保护可能受到个人信息收集和处理影响的隐私提供了更多相关指南。
      ISO 27701的目标是透过额外的要求来增强现有信息安全管理体系（ISMS）,以便建立、实施、维护和不断 改进隐私信息管理系统（PIMS）。该标准概述了适用于个人身份信息（PII）控制者和PII处理者的框架，用于隐私控制管理，以降低对个人隐私权的各种风险。

      标准组成
      ISO/IEC 27701标准的正文由8个条款组成，其中：
      条款1-4，给出了标准范围、术语、定义等
      条款5给出了ISO 27001相关的PIMS要求
      条款6给出了ISO 27002相关的PIMS指南
      条款7给出了针对PII控制者的ISO 27002扩展指南
      条款8给出了针对PII处理者的ISO 27002扩展指南
      附录A，针对PII控制者的PIMS特定的控制目标和控制措施
      附录B，针对PII处理者的PIMS特定的控制目标和控制措施
      附录C，与ISO/IEC 29100的对应
      附录D，与GDPR的对应
      附录E，与ISO/IEC 27018和ISO/IEC 29151的对应
      附录F，如何在ISO/IEC 27001和ISO/IEC 27002的基础上实施ISO/IEC 27701

      应用范围
      它适用于所有类型和规模的组织，包括公有和私营公司、政府实体和非营利组织，在信息安全管理体系(ISMS)中实施PII。
      该标准设计的目的在于借助更多的要求增强现有 ISMS，以建立、实施、维护和持续改进隐私信息管理体系 (PIMS)。标准概述了适用于个人身份信息 (PII) 控制者和 PII 处理者的框架， 以有效管理隐私控制，降低个人隐私权面临的风险。

      认证的益处
      根据ISO 27701的实施隐私资讯管理系统和取得认证可为PII 控制者和PII处理者带来重大益处。
      •首先，使用一个体系来管理来自多个司法管辖区的多项隐私法规和政策的合规性，例如欧盟的通用数据保护法规（GDPR)
      •其次，有助资料保护负责人和最高管理层向组织的董事会或其他监管方面提供有关隐私法规遵从性工作的尽职管理证据。
      •第三，隐私信息管理体系认证对于向客户和合作伙伴传达私隐合规性非常有价值。PIMS认证可以成为公众和其他商业合作方值得信赖的标志。

【返回 】