服務熱線:
02889896768
18683789888
items
服務項目
Contact Us
聯系我們
地址:成都市雙流區大件路白家段280號7-1-1006
服務熱線: 18683789888
                  028-89896768 


你現在的位置:網站首頁 > 服務項目 > IT類認證咨詢 > IT類認證咨詢
隱私信息管理體系認證咨詢
更新時間:2020-08-11 14:48:26
2019 年 8 月 6 日,國際標準化組織 (ISO) 和國際電工委員會 (IEC) 發布了 ISO/IEC 27701 (ISO 27701)——ISO/IEC 27001 和...
2019 年 8 月 6 日,國際標準化組織 (ISO) 和國際電工委員會 (IEC) 發布了 ISO/IEC 27701 (ISO 27701)——ISO/IEC 27001 和 ISO/IEC 27002 的隱私擴展,旨在幫助組織機構保護和控制所處理的個人信息。與現有 ISO 標準 ISO 27701 補充類似,該新 ISO 標準可能成為組織機構保護個人可識別信息 (PII) 的事實標準,且可能用于證明包括《通用數據保護條例》(EU) 2016/679 (GDPR) 在內的全球隱私合規。
對安全合規而言,該新標準相當于錦上添花。******的 ISO 27001 筑基,新 ISO 27701 則建立在此基礎上,提供全面的信息安全控制和個人信息保護。
ISO 27701是什么?
ISO 27701 源自 ISO/IEC 27552,為建立、實現、維護和持續改進隱私信息管理系統 (PIMS) 提供具體要求和指南,令 PIMS 作為 ISO 27001 中定義的靈活信息安全管理系統 (ISMS) 的擴展,在信息安全的基礎上將處理 PII 所需的隱私保護納入考慮。與 ISO 27001 標準類似, ISO 27701 不期望組織機構在所有情況下采納每一條控制。相反,該標準要求組織機構理解自身 PII 處理的具體上下文,以適合其處理活動的方式調整特定控制集和與之相關的實現。
為更好地理解新標準,需要弄清兩個關鍵術語:控制者和處理者。這兩個術語在很多隱私法律和規定中都能見到,包括 GDPR。通常,“控制者” 是指示為什么要收集和處理 PII 的實體,“處理者” 是代表該控制者負責處理此數據的另一個法律實體(非員工)。
新發布的標準適用于 PII 控制者(及聯合控制者)和處理者(包括下級處理者),無論其運營的行業和司法轄區,也包括到 GDPR 和 SO/IEC 29100、ISO/IEC 27018 及 ISO/IEC 29151 安全框架的映射。預計 ISO 27701 要求還將映射到其他隱私法律,如《2018 加州消費者隱私法案》(CCPA)、《金融服務現代化法案》(GLBA) 和《健康保險流通與責任法案》(HIPAA) 等,通過提供通用的合規標準幫助組織機構更好地符合這些監管要求。
下面我們******來看看適用于控制者和處理者的關鍵 ISO 27701 要求。
適用于控制者和處理者的要求
保密性:經授權訪問 PII 的個人必須履行保密協議。
分析風險:必須進行隱私風險評估以識別 PII 處理風險。
監管:組織機構必須指定負責開發、實現、維護和監視其治理及隱私項目的個人。
培訓:可以訪問 PII 的人員需經過隱私意識培訓。
內部過程:組織機構必須為應對 PII 泄露事件而采納各種策略和規程,比如事件響應計劃。
記錄保存:ISO 27701 要求組織機構保留所有 PII 處理活動的記錄,包括 PII 在司法轄區間轉移和向第三方披露等。
特定于控制者的要求
隱私通告:組織機構必須提供包含 PII 收集、使用和處理相關具體信息的隱私政策。
處理者合同要求:組織機構必須與其處理者簽訂書面合同,約定具體事項,比如保護 PII、限制處理操作僅可在 PII 特定用途范圍內,以及提供 PII 泄露通報。
個人權益:ISO 27701 要求組織機構實現各種機制,賦予個人訪問、修改和刪除其 PII,以及反對或限制 PII 處理等權益。
設計隱私與默認隱私:組織機構必須采取措施實現設計隱私和默認隱私原則。
特定于處理者的要求
處理限制:組織機構必須僅按控制者或處理者(取決于客戶的角色)的說明處理 PII。
輔助個人權益:ISO 27701 要求處理者實現幫助客戶遵從個人權益的種種措施。
轉移與披露:處理者必須于 PII 在司法轄區間轉移或任何預期變化發生前通告客戶。
分包商:ISO 27701 要求處理者僅可雇傭一家分包商按照客戶合同的條款處理 PII。
ISO 27701的好處
ISO 27701 合規首先要求 ISO 27001 合規。二者互為補充。遵從 ISO 27701 要求的組織機構會留下其 PII 處理方式的書面證據,可用于推動與商業合作伙伴*** PII 處理問題簽訂協議,明確該組織機構與其他利益相關者間的 PII 處理方式。盡管 GDPR 尚未確立官方認證方法,近期報告表明,ISO 27701 或可在近期改變這一現狀。
該做什么?
客戶若想雇傭供應商代表自己處理和維護 PII,應考慮以合同的形式要求這些供應商不僅遵從 ISO 27001,還要遵從 ISO 27701,或者在數據敏感度適用的情況下取得符合該標準的認證。即使客戶不要求供應商經過獨立第三方的新標準合規認證,可能也想要更新合同,確保供應商能夠符合 ISO 27701 的要求。鑒于 ISO 27701 才剛發布,合同中也可寫入供應商符合新標準要求的合理時延。
已經通過 ISO 27001 認證,希望實現 ISO 27701 要求的組織機構,可以考慮采取下列步驟:
1. 按照 ISO 27701 的要求對現有 ISMS 執行漏洞評估,生成如何解決這些漏洞的行動計劃。
2. 對組織機構收集的 PII 執行數據映射,了解所收集 PII 的范圍,弄清處理者共享和使用 PII 的方式。
3. 依據上下文相關的內部或外部因素,比如適用的隱私立法、規定、司法判決或合同要求等,確定組織機構作為控制者和/或處理者的角色。
4. 審核并更新隱私政策,確保含有所要求的信息。
5. 制定適用于該組織機構角色的策略和規程。
6. 開始規劃和實現設計隱私與默認隱私原則。

Copyright © 2020 www.woorithailand.com, All Rights Reserved
四川千博企業管理有限公司©版權所有   備案號:蜀ICP備20009586號-1
国内精品久久国产大陆_久久婷婷综合缴情亚洲狠狠_国产精品福利一区_a级毛片无码兔费真人久久