北京ISO27701是什么?企业为什么要申请ISO27701?
发布日期:2022-09-21 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370
iso/iec 27701标准的发布,填补了目前隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并且对pii控制者和pii处理者进行了较为详细且落地性强的规定,给企业在隐私保护和信息安全方面给出了指导建议。
一、 隐私保护的重要性被不断强调,iso/iec 27701标准也随之出台
威胁重重,数据滥用、数据窃取、隐私泄露以及“大数据杀熟”等数据安全问题呈现爆发趋势。在此背景下,全球各个国家纷纷颁布相关法律法规,对数据安全与隐私保护相关问题进行严格的规范与引导。
如欧盟保护个人数据的《general data protection regulation》 (gdpr);美国的 《california consumer privacy act》(ccpa)等。
为了应对越来越多的个人数据泄露或滥用的情况,国际范围迎来了隐私保护立法和建立标准热潮。
1. gdpr
欧盟于2018年5月25日正式实施了《通用数据保护条例》 (《general data protection regulation》,简称《gdpr》),是一项保护欧盟公民个人隐私和数据的法律,其适用范围包括欧盟成员国境内企业的个人数据、也包括欧盟境外企业处理欧盟公民的个人数据。
2. ccpa
美国已有多个州先在数据安全与隐私保护进行了立法,其中最著名的要数2018年6月加州通过《加州消费者隐私法案》( 《california consumer privacy act》, 简称《ccpa》)。该法案被称为美国“最严厉和最全面的个人隐私保护法案”,将于2020年1月1日生效。
3. 网络安全法
我国于2017年6月1日正式实施《中华人民共和国网络安全法》(通常简称《网安法》)。《网安法》是我国首部全面规范网络空间安全管理方面问题的基础性法律,包含的内容十分丰富,一共包括7章79条,包含网络运行安全、关键信息基础设施的运行安全、网络信息安全等内容。值得关注的是,《网安法》在数据(包括个人信息)安全与保护上也有诸多规定,例如第四十至四十五条。
iso标准委员会以iso 27001为基准,以iso 27552为蓝本,建立了iso 27701标准。
二、iso/iec 27701标准介绍
1. 关键术语解释
pii:个人可识别身份信息,指 a) 任何可以识别pii主体的信息或 b) 直接或间接与pii主体相关的信息
pims:privacy information management system,隐私信息管理体系
customer:
pii控制者的customer:与pii控制者有合约关系的组织,可以是共同控制者
pii处理者的customer:与pii处理者有合约关系的pii控制者
与pii处理的分包商有合约关系的pii处理者
2. iso 27701结构组成
iso 27701是iso 27001和iso 27002在隐私信息管理方面的扩展,并在隐私保护方面提供了必要的额外要求。iso/iec 27701标准的正文由8个条款组成,其中:
条款1-4,给出了标准的范围,术语、定义等。
条款5介绍了iso 27001中延伸出的关于pims的扩展要求以及本标准对pims的附加要求。
条款6介绍了iso 27002中对pims的扩展及附加要求。上述条款对pii的控制者和处理者均适用。
条款7给出了针对pii控制者的iso 27002扩展指南。
条款8给出了针对pii处理者的iso 27002扩展指南。这两章从pii的收集和处理,对pii主体的义务,privacy by design & privacy by default,pii的共享、传输和披露四个方面做出了相应规定。
附录a是针对pii控制者的pims特定的控制目标和控制措施。
附录b是针对pii处理者的pims特定的控制目标和控制措施。
附录c给出了标准与iso/iec 29100的映射。
附录d是与gdpr的映射。
附录e是与iso/iec 27018和iso/iec 29151的映射。
附录f则是如何在处理pii时将iso/iec 27001和iso/iec 27002扩展到隐私保护。
总体而言,标准通过第5章和第6章将iso 27002与附加的pims控制项构成了完整的信息安全和隐私管理体系。第7章和第8章从数据生命周期的角度新增分别针对pii控制者和处理者的控制要求。
