一篇文章了解 ISO 27701
星期三, 九月 18, 2019
新标准提供了全面的信息安全控制和个人信息保护。
2019 年 8 月 6 日,国际标准化组织 (ISO) 和国际电工委员会 (IEC) 发布了 ISO/IEC 27701 (ISO 27701)——ISO/IEC 27001 和 ISO/IEC 27002 的隐私扩展,旨在帮助组织机构保护和控制所处理的个人信息。与现有 ISO 标准 ISO 27701 补充类似,该新 ISO 标准可能成为组织机构保护个人可识别信息 (PII) 的事实标准,且可能用于证明包括《通用数据保护条例》(EU) 2016/679 (GDPR) 在内的全球隐私合规。
对安全合规而言,该新标准相当于锦上添花。著名的 ISO 27001 筑基,新 ISO 27701 则建立在此基础上,提供全面的信息安全控制和个人信息保护。
ISO 27701 源自 ISO/IEC 27552,为建立、实现、维护和持续改进隐私信息管理系统 (PIMS) 提供具体要求和指南,令 PIMS 作为 ISO 27001 中定义的灵活信息安全管理系统 (ISMS) 的扩展,在信息安全的基础上将处理 PII 所需的隐私保护纳入考虑。与 ISO 27001 标准类似, ISO 27701 不期望组织机构在所有情况下采纳每一条控制。相反,该标准要求组织机构理解自身 PII 处理的具体上下文,以适合其处理活动的方式调整特定控制集和与之相关的实现。
为更好地理解新标准,需要弄清两个关键术语:控制者和处理者。这两个术语在很多隐私法律和规定中都能见到,包括 GDPR。通常,“控制者” 是指示为什么要收集和处理 PII 的实体,“处理者” 是代表该控制者负责处理此数据的另一个法律实体(非员工)。
新发布的标准适用于 PII 控制者(及联合控制者)和处理者(包括下级处理者),无论其运营的行业和司法辖区,也包括到 GDPR 和 SO/IEC 29100、ISO/IEC 27018 及 ISO/IEC 29151 安全框架的映射。预计 ISO 27701 要求还将映射到其他隐私法律,如《2018 加州消费者隐私法案》(CCPA)、《金融服务现代化法案》(GLBA) 和《健康保险流通与责任法案》(HIPAA) 等,通过提供通用的合规标准帮助组织机构更好地符合这些监管要求。
下面我们就就来看看适用于控制者和处理者的关键 ISO 27701 要求。
适用于控制者和处理者的要求
特定于控制者的要求
特定于处理者的要求
ISO 27701 合规首先要求 ISO 27001 合规。二者互为补充。遵从 ISO 27701 要求的组织机构会留下其 PII 处理方式的书面证据,可用于推动与商业合作伙伴就 PII 处理问题签订协议,明确该组织机构与其他利益相关者间的 PII 处理方式。尽管 GDPR 尚未确立官方认证方法,近期报告表明,ISO 27701 或可在近期改变这一现状。
客户若想雇佣供应商代表自己处理和维护 PII,应考虑以合同的形式要求这些供应商不仅遵从 ISO 27001,还要遵从 ISO 27701,或者在数据敏感度适用的情况下取得符合该标准的认证。即使客户不要求供应商经过独立第三方的新标准合规认证,可能也想要更新合同,确保供应商能够符合 ISO 27701 的要求。鉴于 ISO 27701 才刚发布,合同中也可写入供应商符合新标准要求的合理时延。
已经通过 ISO 27001 认证,希望实现 ISO 27701 要求的组织机构,可以考虑采取下列步骤:
1. 按照 ISO 27701 的要求对现有 ISMS 执行漏洞评估,生成如何解决这些漏洞的行动计划。
2. 对组织机构收集的 PII 执行数据映射,了解所收集 PII 的范围,弄清处理者共享和使用 PII 的方式。
3. 依据上下文相关的内部或外部因素,比如适用的隐私立法、规定、司法判决或合同要求等,确定组织机构作为控制者和/或处理者的角色。
4. 审核并更新隐私政策,确保含有所要求的信息。
5. 制定适用于该组织机构角色的策略和规程。
6. 开始规划和实现设计隐私与默认隐私原则。
全世界的立法者和监管机构都在引入新的数据使用治理法案,尤其是 PII 数据使用的治理。最近,GDPR 的生效使除客户和供应商外的很多公司企业争相达成合规。不断改变的法律环境给所有公司企业带来了挑战,但最为头疼的是那些必须符合多个司法辖区规定的公司企业。新发布的 ISO 27701 标准将提供一种协调的方式,供组织机构确定、规划、实现和记录其全球数据隐私方法,不用再在各地分别应对每个新的立法。
无论组织机构的规模大小,不管身为 PII 控制者还是处理者,公司企业都应考虑获取 ISO 27701 认证,要么是自身,要么要求供应商获得。对处理敏感或大量 PII 的处理者、下级处理者和联合控制者而言尤其如此。
相关阅读