ISO/IEC 27701誕生背景
數據濫用、數據竊取、隱私泄露以及“大數據殺熟”等數據安全問題呈現爆發趨勢。在此背景下,全球各個國家紛紛頒布相關法律法規,對數據安全與隱私保護相關問題進行嚴格的規范與引導。
如歐盟保護個人數據的《General Data Protection Regulation》 (GDPR);美國的 《California Consumer Privacy Act》(CCPA)等。
為了應對(dui)越來越多的(de)個人數據泄露或(huo)濫用的(de)情況,國際(ji)范圍(wei)迎(ying)來了隱私(si)保護立(li)法����(fa)和建立(li)標準熱潮(chao)。
1. GDPR
歐盟于2018年5月25日正式實施了《通用數據保護條例》 (《General Data Protection Regulation》,簡稱《GDPR》),是一項保護歐盟公民個人隱私和數據的法律,其適用范圍包括歐盟成員國境內企業的個人數據、也包括歐盟境外企業處理歐盟公民的個人數據。
2. CCPA
美國已有多個州先在數據安全與隱私保護進行了立法,其中最著名的要數2018年6月加州通過《加州消費者隱私法案》( 《California Consumer Privacy Act》, 簡稱《CCPA》)。該法案被稱為美國“最嚴厲和最全面的個人隱私保護法案”,將于2020年1月1日生效。
3. 網絡安全法
我國于2017年6月1日正式實施《中華人民共和國網絡安全法》(通常簡稱《網安法》)。《網安法》是我國首部全面規范網絡空間安全管理方面問題的基礎性法律,包含的內容十分豐富,一共包括7章79條,包含網絡運行安全、關鍵信息基礎設施的運行安全、網絡信息安全等內容。值得關注的是,《網安法》在數據(包括個人信息)安全與保護上也有諸多規定,例如第四十至四十五條。
ISO標準委(wei)員會以ISO 27001為基準,以ISO 27552為藍本(ben),建立了ISO ������27701標準。
隱私信息管理體系ISO/IEC 27701標準解析
隨著社交媒體APP和物聯網設備在(zai)生活(huo)中(zhong)的廣泛應用(yong),以及全球(qiu)隱(yin)私(si)(si)法(fa)(fa)(fa)律法(fa)(fa)(fa)規(gui)的激增,諸如(ru)(ru)(ru):《歐盟通(tong)用(yong)數�����據保護條例》(GDPR)、《加(jia)州(zhou)消費(fei)者(zhe)(zhe)隱(yin)私(si)(si)法(fa)(fa)(fa)》(CCPA)和《中(zhong)國網絡安全法(fa)(fa)(fa)》(China network security Law),隱(yin)私(si)(si)保護問題已(yi)然成(cheng)為(wei)了當前(qian)社會的焦點,這意味(wei)著組織(zhi)現在(zai)面(mian)臨(lin)著來(lai)自客戶、最終用(yong)戶、投(tou)資(zi)者(zhe)(zhe)和監管機構的多重壓(ya)力,企業如(ru)(ru)(ru)何(he)管理個人可識(shi)別(bie)信息(PII)或個人數據,如(ru)(ru)(r���u)何(he)確保隱(yin)私(si)(si)合規(gui),都(dou)成(cheng)為(wei)擺在(zai)企業面(mian)前(qian)亟待解(jie)決的新問題和新挑戰。
隱私的概念(nian)經常(chang)被誤解或(huo)被錯誤地(di)對待(dai)。許多企業認為,不將數據傳(chuan)遞給第三方(fang)并(bing)確保其數據庫受(shou)密碼保護(hu)就足(zu)夠了(le)(le)。諸如“同意”、“托收(shou)目(mu)的”或(huo)“跨境(jing)轉�������(�������zhuan)移”等(deng)概念(nian)要(yao)么被忽視,要(yao)么不被理解。針對GDPR和CCPA的嚴厲罰(fa)款讓(rang)許多組織已(yi)經意識到了(le)(le)這些風險(xian),并(bing)開始(shi)注重(zhong)其隱私保護(hu)。
2�����019年(nian)8月發布的(de)隱私安全(quan)標準ISO/IEC 27701:2019,能幫(bang)助企業拓(tuo)展ISO /IEC 27������001體系對(dui)保護隱私的(de)局限性,更(geng)全(quan)面、準確、充分(fen)地應對(dui)隱私保護及合規要求(qiu)。
今天我(wo)們先來(lai)看看I��������SO/IEC 27701:2019 標準的結構�����及其與 ISO/IEC 27001 和 ISO/IEC 27002之(zhi)間(jian)的關系。
ISO/IEC 27701:2019的正式名(ming)稱為安全技術--ISO/IEC 27001 和(he) IS�������O/IEC 27002 對隱(yin)(yin)私信息管(guan)理(li)的擴(kuo)(ku�����o)展--要求和(he)指(zhi)(zhi)南。其(qi)以ISO/IEC 27001 和(he) ISO/IEC 27002 對隱(yin)(yin)私信息管(guan)理(li)的擴(kuo)(kuo)展方式,為在組織范圍內建立、實施、維護和(he)持(chi)續改(gai)進隱(yin)(yin)私信息管(guan)理(li)體系(xi)(PIMS)指(zhi)(zhi)定要求,并提供指(zhi)(zhi)南。
與ISO/IEC 27001 配合(he)使(shi)用,是認證要求和(he)實施(shi)指南(nan)(nan)的(de)組(zu)合(he)體。 它是對ISO/IEC 27001 的(de)擴展,因其增加(jia)(jia)了附(fu)加(jia)(jia)的(de)PIMS 相(xiang)關(guan)要求,如條(tiao)款(kuan)5、附(fu)錄 ������A 和(he)附(fu)錄 B。認證要求在標準中共有67項,表(biao)述為(wei)'應'。同時,為(wei)組(zu)織實施(shi) PIMS,還增加(jia)(jia)了從ISO/IEC 27002 到 PIMS的(de)附(fu)加(jia)(jia)指南(nan)(nan),例如條(tiao)款(kuan)6、7和(he)8。
ISO/IEC 27701:2019 標準的詳細結構
條款(kuan) 條款(kuan)標題 備注
1 范(fan)圍 標準的適用性
2 規范性引用文件(jian) 標準參考
3 術語、定義(yi)和縮寫
4 總(zong)則 標準(zhun)結(jie)構的描述
5 與��������� ISO/IEC 27001 相關的(de)PIMS特定要(yao)求(qiu) 在ISO/IEC 27001 �������中要(yao)求(qiu)的(de)PIMS特定要(yao)求(qiu)
6 ����與 ISO/IEC 27002 相關的PIMS特定(ding)指(zhi)(zhi)南 在ISO/IEC 27002中(zhong),PIMS對控制點的特定(ding)指(zhi)(zhi)南
7 對PII控制(zhi)(zhi)者附(fu)加的(de)(de)ISO/IEC 27002指南 對PII控制(zhi)(zhi)者的(de)(de)附����(fu)加ISO/IEC 27002指南
8 對(dui)PII處理者附加的ISO/IEC 27002指南(nan) 對(dui)PII處理者附加的ISO/IEC 27002指南(n�����an)
附(fu)錄 A (規范(fan)性附(fu����)錄)PIMS特定參(can)考控制(zhi)目(mu)標和控制(zhi)(PII 控制(zhi)者) 強制(zhi)性控制(zhi),適用于數(shu)據控制(zhi)者
附錄(lu) B (規范性(x�����ing)附錄(lu))PIMS特定參考(kao)控制(zhi)目標和控制(zhi)(PII 處理(li)者) 強制�������(zhi)性(xing)控制(zhi),適用(yong)于(yu)數(shu)據處理(li)者
附(fu)錄 C 與(yu������)ISO/IEC 29100的對照關系(xi) 非認證(zheng)的、信息性(xing)的附(fu)��錄
附錄 D 與通用(yong)數據保護條例(li)(GDPR)的對(dui)照關系
附錄 E 附錄 E(信(xin)息性),與ISO/IEC 27018和ISO/IE������C 29151 的對(dui)照關系(xi)
附錄(lu) F 如何將ISO/IEC 27701 應用(yon�������g)于(yu)ISO/IEC 27001 和(he) ISO/IEC 27002
主要條款(kuan)詳情:
條(tiao)款5 與(yu) ISO/IEC 27001 相關的PIMS特定要求
涵蓋了對(dui) ISO/IEC 270������01:2013 條(tiao)款4~10附加的(de)要求(qiu)(qiu),均為認證要求(qiu)(qiu)。例如,如本標準中條(tiao)款5.7.2 的(de)表述:
ISO/IEC 27001:20�����13,9.2 中所�����述(shu)要求以及5.1 中所述(shu)的解釋均適用。
該標準不(bu)增(zeng)加任(ren)何新的(de)內部審核要求(qiu),只要組織理解這是ISO/IEC 27001:2013 對處(chu)理個人可識別(bie)信(xin)息(PII)所可能(neng)增�����(zeng)加風險的(de)“信(xin)息安全”要求(qiu)。
ISO/IEC 27701:2019對ISO/IEC 27001的以下條款增加了附加的要求:
4.1 理解(jie)組織及(ji)其環境
4.2 理解相關方的需求和期(qi)望(wang)
4.3 確定(ding)信息(xi)安全管(guan)理體(ti)系的(de)范(fan)圍
6.1.2 信息安(an)全風險評(ping)估(gu)
6.1.3 信息安全風險處(chu)置
條款6 與(yu)ISO/IEC 27002相(xiang)關(guan)的PIMS特���定指(zhi)南
涵蓋了與(yu)ISO/IEC 27002有關的其(qi)他PIMS相(xiang)關指南。例如,標(biao)準條(tia����o)款(kuan)6.9.4.4(與(yu) ISO/IEC 27001:2013 的12.4.4 時鐘同步相(xiang)對應)不(bu)包含任何(he)附加要求,因為(wei)時鐘同步與(yu)隱私風險沒有相(xiang)關性
世通信息安全服務的優勢
世通(tong)認證(zheng)2003年經國家認證認可監督管理委員會批準成立,中國合格評定國家認可委員會認可,是山東省具有獨立法人資格的老牌認證機構。成立18年(nian)來累計服務3.6萬家企事業(ye)單(dan)������位,頒(ban)發(fa)證(zheng)書超10萬張(zhang),山東省證(zheng)書保有量第一。
������
世通信息安全服務中心:
1、已成功為全省一百多家企業提供信息安全與信息技術咨詢服務
2、應各(ge)地(di)軍民融(rong)合辦(ban)要求,已成功舉辦(ban)二十余場涉密(mi)溝通會,成為企業涉密(mi)參軍路上的�����好幫手
世通認證服務優勢
世通(tong)認(ren)(ren)證(zheng)2003年經(jing)國家����認(ren)(ren)證(zheng)認(ren)(ren)可(ke)監督管(guan)理委(wei)(wei)員會批準成立,中國合格評(ping)定(ding)國家認(ren)(ren)可(ke)委(wei)(wei)員會認(ren)(ren)可(ke),是山東省具有(you)獨(du)立法人資格的老牌認(ren)(ren)證(zheng)機構。成立21年來(lai)累計服(fu)務(wu)3.6萬(wan)家企(qi)事(shi)業單位(wei),在山東省證(zheng)書保有(you)量第一。
山東世通集團總部位于青島,占地15畝,擁有18000㎡獨立的檢驗檢測認證辦公大樓,總投資一億元,是中������(zhong)(zhong)(zhong)國(guo)認(ren)證(zheng)認(ren)可協會(hui)理事單位(wei),青島(dao)市企業(ye)參與國(guo)防建設促進會(hui)副會(hui)長(chang)單位(wei),中(zhong)(zhong)(zhong)國(guo)節能協會(hui)碳(tan)中(zhong)(zhong)(zhong)和(he)專業(ye)委員會(hui)副主�������(zhu)(zhu)任(ren)會(hui)員單位(wei),青島(dao)節能協會(hui)碳(tan)中(zhong)(zhong)(zhong)和(he)專業(ye)委員會(hui)副主(zhu)(zhu)任(ren)會(hui)員單位(wei)。
世通國際地址
搜索
客戶案例
批準號
認可號
