一篇文章了解 ISO 27701
2019-09-18 12:34:58 Author: www.aqniu.com(查看原文) 阅读量:215 收藏

一篇文章了解 ISO 27701

星期三, 九月 18, 2019

新标准提供了全面的信息安全控制和个人信息保护。

2019 年 8 月 6 日,国际标准化组织 (ISO) 和国际电工委员会 (IEC) 发布了 ISO/IEC 27701 (ISO 27701)——ISO/IEC 27001 和 ISO/IEC 27002 的隐私扩展,旨在帮助组织机构保护和控制所处理的个人信息。与现有 ISO 标准 ISO 27701 补充类似,该新 ISO 标准可能成为组织机构保护个人可识别信息 (PII) 的事实标准,且可能用于证明包括《通用数据保护条例》(EU) 2016/679 (GDPR) 在内的全球隐私合规。

对安全合规而言,该新标准相当于锦上添花。著名的 ISO 27001 筑基,新 ISO 27701 则建立在此基础上,提供全面的信息安全控制和个人信息保护。

ISO 27701 源自 ISO/IEC 27552,为建立、实现、维护和持续改进隐私信息管理系统 (PIMS) 提供具体要求和指南,令 PIMS 作为 ISO 27001 中定义的灵活信息安全管理系统 (ISMS) 的扩展,在信息安全的基础上将处理 PII 所需的隐私保护纳入考虑。与 ISO 27001 标准类似, ISO 27701 不期望组织机构在所有情况下采纳每一条控制。相反,该标准要求组织机构理解自身 PII 处理的具体上下文,以适合其处理活动的方式调整特定控制集和与之相关的实现。

为更好地理解新标准,需要弄清两个关键术语:控制者和处理者。这两个术语在很多隐私法律和规定中都能见到,包括 GDPR。通常,“控制者” 是指示为什么要收集和处理 PII 的实体,“处理者” 是代表该控制者负责处理此数据的另一个法律实体(非员工)。

新发布的标准适用于 PII 控制者(及联合控制者)和处理者(包括下级处理者),无论其运营的行业和司法辖区,也包括到 GDPR 和 SO/IEC 29100、ISO/IEC 27018 及 ISO/IEC 29151 安全框架的映射。预计 ISO 27701 要求还将映射到其他隐私法律,如《2018 加州消费者隐私法案》(CCPA)、《金融服务现代化法案》(GLBA) 和《健康保险流通与责任法案》(HIPAA) 等,通过提供通用的合规标准帮助组织机构更好地符合这些监管要求。

下面我们就就来看看适用于控制者和处理者的关键 ISO 27701 要求。

适用于控制者和处理者的要求

  • 保密性:经授权访问 PII 的个人必须履行保密协议。
  • 分析风险:必须进行隐私风险评估以识别 PII 处理风险。
  • 监管:组织机构必须指定负责开发、实现、维护和监视其治理及隐私项目的个人。
  • 培训:可以访问 PII 的人员需经过隐私意识培训。
  • 内部过程:组织机构必须为应对 PII 泄露事件而采纳各种策略和规程,比如事件响应计划。
  • 记录保存:ISO 27701 要求组织机构保留所有 PII 处理活动的记录,包括 PII 在司法辖区间转移和向第三方披露等。

特定于控制者的要求

  • 隐私通告:组织机构必须提供包含 PII 收集、使用和处理相关具体信息的隐私政策。
  • 处理者合同要求:组织机构必须与其处理者签订书面合同,约定具体事项,比如保护 PII、限制处理操作仅可在 PII 特定用途范围内,以及提供 PII 泄露通报。
  • 个人权益:ISO 27701 要求组织机构实现各种机制,赋予个人访问、修改和删除其 PII,以及反对或限制 PII 处理等权益。
  • 设计隐私与默认隐私:组织机构必须采取措施实现设计隐私和默认隐私原则。

特定于处理者的要求

  • 处理限制:组织机构必须仅按控制者或处理者(取决于客户的角色)的说明处理 PII。
  • 辅助个人权益:ISO 27701 要求处理者实现帮助客户遵从个人权益的种种措施。
  • 转移与披露:处理者必须于 PII 在司法辖区间转移或任何预期变化发生前通告客户。
  • 分包商:ISO 27701 要求处理者仅可雇佣一家分包商按照客户合同的条款处理 PII。

ISO 27701 合规首先要求 ISO 27001 合规。二者互为补充。遵从 ISO 27701 要求的组织机构会留下其 PII 处理方式的书面证据,可用于推动与商业合作伙伴就 PII 处理问题签订协议,明确该组织机构与其他利益相关者间的 PII 处理方式。尽管 GDPR 尚未确立官方认证方法,近期报告表明,ISO 27701 或可在近期改变这一现状。

客户若想雇佣供应商代表自己处理和维护 PII,应考虑以合同的形式要求这些供应商不仅遵从 ISO 27001,还要遵从 ISO 27701,或者在数据敏感度适用的情况下取得符合该标准的认证。即使客户不要求供应商经过独立第三方的新标准合规认证,可能也想要更新合同,确保供应商能够符合 ISO 27701 的要求。鉴于 ISO 27701 才刚发布,合同中也可写入供应商符合新标准要求的合理时延。

已经通过 ISO 27001 认证,希望实现 ISO 27701 要求的组织机构,可以考虑采取下列步骤:

1. 按照 ISO 27701 的要求对现有 ISMS 执行漏洞评估,生成如何解决这些漏洞的行动计划。

2. 对组织机构收集的 PII 执行数据映射,了解所收集 PII 的范围,弄清处理者共享和使用 PII 的方式。

3. 依据上下文相关的内部或外部因素,比如适用的隐私立法、规定、司法判决或合同要求等,确定组织机构作为控制者和/或处理者的角色。

4. 审核并更新隐私政策,确保含有所要求的信息。

5. 制定适用于该组织机构角色的策略和规程。

6. 开始规划和实现设计隐私与默认隐私原则。

全世界的立法者和监管机构都在引入新的数据使用治理法案,尤其是 PII 数据使用的治理。最近,GDPR 的生效使除客户和供应商外的很多公司企业争相达成合规。不断改变的法律环境给所有公司企业带来了挑战,但最为头疼的是那些必须符合多个司法辖区规定的公司企业。新发布的 ISO 27701 标准将提供一种协调的方式,供组织机构确定、规划、实现和记录其全球数据隐私方法,不用再在各地分别应对每个新的立法。

无论组织机构的规模大小,不管身为 PII 控制者还是处理者,公司企业都应考虑获取 ISO 27701 认证,要么是自身,要么要求供应商获得。对处理敏感或大量 PII 的处理者、下级处理者和联合控制者而言尤其如此。

相关阅读

数据泄露简要指南 (GDPR应对版)


文章来源: https://www.aqniu.com/industry/55561.html
如有侵权请联系:admin#unsafe.sh