北京ISO27701与其他类似体系的区别是什么?
发布日期:2022-09-26 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370
a) iso 27701是iso 27001和iso 27002在隐私方面的扩展。
b) iso 27002为iso 27001提供风险处置具体的控制目标和控制措施。
c) iso 29100、iso 27018、iso 29151均为隐私方面的标准,有不同的侧重点,与iso 27701互为补充。
d) iso 27001帮助企业建立isms,通过有效的风险管理来保护和管理组织的所有信息,从数据安全方面满足gdpr的部分要求。
e) iso 27701加入了隐私保护的额外要求,更全面地覆盖了gdpr的要求。
4. iso 27701 vs iso 27001 & 27002
本标准基于iso 27001和iso 27002,在应用本标准时,应将原iso 27001及iso 27002中的“信息安全”替换为“信息安全和隐私”。本标准中仅列出替换后仍需说明的额外pims相关要求。
iso 27002 中共14个控制域,每个控制项中包含控制措施、实施指南和其他信息。将所有“信息安全”替换为“信息安全和隐私”后,除了“业务连续性管理的信息安全方面”的控制域,iso 27701对iso 27002中控制域中的实施指南和其他信息均有额外的补充,但控制措施均延续iso 27002的控制措施(仅将“信息安全”替换为“信息安全和隐私”)
5. iso 27701 vs gdpr
iso 27701的认证能在极大程度上表明组织符合gdpr的要求。根据附录d iso 27701与gdpr适用条款(article 4-42, 44-49)之间的映射关系,通过对比gdpr的原条款,发现iso 27701覆盖了绝大部分gdpr的要求,仅个别gdpr的条款未被iso 27701覆盖,条款涉及的主要内容如下:
article 14个人数据还未从数据主体处获得时(数据控制者)应提供的信息 (5)(a):数据控制者应当向数据主体提供所规定提供给数据主体的信息,除非数据主体已获知相关信息
article 23限制:欧盟或成员国法律可以通过立法手段限制本法第12条至第22条和第34条规定的权利义务范围
article 35数据保护影响评估 (6):此段针对监管机构,规定了在给出数据保护影响评估相关清单时需应用一致性机制的场景
article 36事先咨询 (4):数据保护影响评估表明在数据控制者缺乏减轻风险的措施会导致高风险时,数据控制者应当在处理前向监管机构咨询
尽管根据iso 27701和gdpr的映射来看,gdpr的内容基本均在iso 27701中有所体现,但仍不能认为iso 27701可以作为表明完全符合gdpr的全球性认证。主要是由于通用性的国际标准无法完全符合某个国家或地区具体的法律法规。由于iso 27701为国际通用地标准,某些要求仅通用性地指出应遵守某些适用地法律法规,未包含具体地规定,而gdpr则明确指出具体地要求
- 上一篇:企业为什么要申请ISO27018认证呢?
- 下一篇:ISO29151体系认证是什么?
