伴随着数字时代的到来,数字化信息处理日趋普遍。对于PII(个人可识别身份信息)处理而言,人们在享受数字化所带来的诸多便利同时,也面临着由PII数字化所带来的风险。信息数字化在企业发展过程中对节约企业成本和达到有效管理起到了积极的作用,另一方面,伴随着全球信息化和网络进程的发展,与此相关的个人隐私保护和信息安全问题也日趋严重。
《ISO/IEC 27701,安全技术-扩展的ISO/IEC 27001和ISO/IEC 27002-隐私信息管理要求和指南》的发布,填补了目前隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并且对PII控制者和PII处理者进行了较为详细且落地性强的规定,细化了隐私信息管理的要求,给企业在隐私保护和信息安全方面给出了指导建议。作为一个国际通用的隐私信息管理工具,能够有效的协助企业对对隐私风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平,并建立隐私保护体系,从管理与技术等多方面出发,从而使企业满足国内外的监管合规要求。同时,隐私信息管理体系的建设,一定程度上也是企业隐私保护能力的一种体现,能够增强企业与消费者、合作伙伴甚至是监管部门的相互信任。
一、隐私保护的重要性被不断强调,ISO/IEC 27701标准也随之出台
威胁重重,数据滥用、数据窃取、隐私泄露以及“大数据杀熟”等数据安全问题呈现爆发趋势。在此背景下,全球各个国家纷纷颁布相关法律法规,对数据安全与隐私保护相关问题进行严格的规范与引导。
如欧盟保护个人数据的《General Data Protection Regulation》 (GDPR);美国的 《California Consumer Privacy Act》(CCPA)等。
1. GDPR
欧盟于2018年5月25日正式实施了《通用数据保护条例》 (《General Data Protection Regulation》,简称《GDPR》),是一项保护欧盟公民个人隐私和数据的法律,其适用范围包括欧盟成员国境内企业的个人数据、也包括欧盟境外企业处理欧盟公民的个人数据。
2. CCPA
美国已有多个州先在数据安全与隐私保护进行了立法,其中最著名的要数2018年6月加州通过《加州消费者隐私法案》( 《California Consumer Privacy Act》, 简称《CCPA》)。该法案被称为美国“最严厉和最全面的个人隐私保护法案”,将于2020年1月1日生效。
3. 网络安全法
我国于2017年6月1日正式实施《中华人民共和国网络安全法》(通常简称《网安法》)。《网安法》是我国首部全面规范网络空间安全管理方面问题的基础性法律,包含的内容十分丰富,一共包括7章79条,包含网络运行安全、关键信息基础设施的运行安全、网络信息安全等内容。值得关注的是,《网安法》在数据(包括个人信息)安全与保护上也有诸多规定,例如第四十至四十五条。
同时,ISO标准委员会也以ISO 27001为基准,以ISO 27552为蓝本,建立了ISO 27701标准。
二、ISO/IEC 27701标准介绍
1. ISO 27701结构组成
ISO 27701是ISO 27001和ISO 27002在隐私方面的扩展,并为隐私保护提供了除ISO 27001和ISO 27002之外的额外的指导。全文共分为8个章节及6个附录,主要的要求和指导内容集中在第5-8章。
其中第5章介绍了ISO 27001中延伸出的关于PIMS(隐私信息管理体系)的扩展要求以及本标准对PIMS的附加要求,第6章则介绍了ISO 27002中对PIMS的扩展及附加要求,这两章的内容对PII控制者和处理者均适用,行文结构和控制域与原标准一致,包含ISO 27002共14个控制域、114个控制项。
第7章为专门针对PII控制者的额外指导内容,共31个控制项,第8章则为针对PII处理者的额外指导内容,共18个控制项,这两章均从PII的收集和处理,对PII主体的义务,Privacy by design & Privacy by default,PII的共享、传输和披露四个方面作出相应规定。
总体而言,本标准通过第5章和第6章将ISO 27002与附加的PIMS控制项通过ISO 27001中PDCA的方式导入体系,形成完整的信息安全和隐私管理体系。此外,第7章和第8章从数据生命周期的角度新增分别针对PII控制者和处理者的控制要求。同时,附录中还将本标准与GDPR、ISO 29100、ISO 27018及ISO 29151进行了映射。
2. ISO 27701与各标准之间的关系
a) ISO 27701是ISO 27001和ISO 27002在隐私方面的扩展。
b) ISO 27002为ISO 27001提供风险处置具体的控制目标和控制措施。
c) ISO 29100、ISO 27018、ISO 29151均为隐私方面的标准,有不同的侧重点,与ISO 27701互为补充。
d) ISO 27001帮助企业建立ISMS,通过有效的风险管理来保护和管理组织的所有信息,从数据安全方面满足GDPR的部分要求。
e) ISO 27701加入了隐私保护的额外要求,更全面地覆盖了GDPR的要求。
3. ISO 27701 VS ISO 27001 & 27002
本标准基于ISO 27001和ISO 27002,在应用本标准时,应将原ISO 27001及ISO 27002中的“信息安全”替换为“信息安全和隐私”。本标准中仅列出替换后仍需说明的额外PIMS相关要求。
ISO 27002 中共14个控制域,每个控制项中包含控制措施、实施指南和其他信息。将所有“信息安全”替换为“信息安全和隐私”后,除了“业务连续性管理的信息安全方面”的控制域,ISO 27701对ISO 27002中控制域中的实施指南和其他信息均有额外的补充,但控制措施均延续ISO 27002的控制措施(仅将“信息安全”替换为“信息安全和隐私”)
4. ISO 27701 VS GDPR
ISO 27701的认证能在极大程度上表明组织符合GDPR的要求。根据附录D ISO 27701与GDPR适用条款(Article 4-42, 44-49)之间的映射关系,通过对比GDPR的原条款,发现ISO 27701覆盖了绝大部分GDPR的要求,仅个别GDPR的条款未被ISO 27701覆盖,尽管根据ISO 27701和GDPR的映射来看,GDPR的内容基本均在ISO 27701中有所体现,但仍不能认为ISO 27701可以作为表明完全符合GDPR的全球性认证。主要是由于通用性的国际标准无法完全符合某个国家或地区具体的法律法规。由于ISO 27701为国际通用地标准,某些要求仅通用性地指出应遵守某些适用地法律法规,未包含具体地规定,而GDPR则明确指出具体地要求。
5. ISO 27701 VS ISO 29151
ISO 27701分别对个人可识别信息控制者和个人可识别信息处理者进行规范和指导并基于ISO 27001和ISO 27002的各个领域,从管理体系的角度并遵循PDCA的理念,而ISO 29151则是个人身份信息保护的实践指南,它主要是基于ISO 27002的各个域中加入了PII的事实指南,并引入了ISO 29100十一大隐私保护原则,可以说ISO 27701和ISO 29151都是ISO 29100的细化体现,ISO 27701满足了ISO 29151的要求,并且从体系角度给予了充分的展示与要求。
三、ISO/IEC 27701标准重点解读
ISO 27701在对ISO 27001/27002的扩展要求中,除将“信息安全”替换为“信息安全和隐私”外,同时扩展了相关控制域中的控制项。
ISO 27701中第7章和第8章分别对PII控制者和处理者的评估增加了额外指导,包括收集和处理PII的条件等控制域。
ISO 27701的目标是通过对于隐私保护的控制实现对ISMS进行补充,使企业建立PIMS,实现有效的隐私管理,从而使企业获益。
1.通过明确对PII控制者和处理者的隐私保护要求,可以使企业明确隐私保护管理合规目标,减轻企业合规负担的同时降低企业合规风险,ISO 27701标准附件D中明确表示,单个隐私控制点可以满足GDPR中的多项要求。
2.实现持续的个人隐私安全合规对于任何企业都是一个安全治理的课题,ISO 27701通过建立PIMS,可以确保组织高级管理层、企业所有者以及关键相关方的利益满足隐私保护要求,从而使组织实现长期、持久的个人隐私安全合规。
3.PIMS认证可以向企业客户或合作伙伴传达隐私合规价值。PII控制者通常会要求PII处理者提供相关证据,从而证明PII处理者的隐私管理体系符合适用的隐私管理要求。通过得到授权的第三方机构对PII处理者进行审计验证,基于国际标准的统一证据框架可以极大地降低合规沟通成本,这种合规透明度的提高对于企业战略和业务决策至关重要,同时PIMS认证也有助于向公众传达企业的可信度。
关于我们关于我们
强思企管自2000年成立,首批中国国家认证认可监督管理委员会(CNCA)审批合格以来,专注于为企业提供管理体系认证咨询、管理培训及管理咨询服务;经过二十年的积淀,强思企管已经成为华东地区最具品牌知名度和竞争实力的培训和顾问机构之一。
在这二十年中,我们开发并培养了一批专业讲师和顾问团队,他们都拥有在世界五百强十年以上的管理工作经验,且受过系统的专业训练和演讲技巧训练,在培训和咨询活动中深得客户的好评!可以提供从质量、研发、生产管理、采购和供应链、EHS管理、体验式培训、人力资源管理、通用管理技能到管理体系标准等众多领域的培训和咨询服务,并形成了独具特色的顾问式培训及项目咨询服务体系,到目前为止,强思企管已经为上万家的世界五百强在华企业、国有大中型企业和优秀民营企业进行了令人满意的培训和咨询服务,拥有丰富的培训及咨询经验和众多的成功案例,深得客户及TUV、DNV、BV、BSI、SGS、ITS、DEKRA、LR、DQS、CQC、SAC、方圆等国内外知名认证机构的好评!
强思企管现有员工近百名,其中国家或国际注册的专兼职中高级咨询师/培训讲师60余名。为服务客户方便,我们在苏州、嘉兴和南京设有分支机构,如需了解更多详情,请点击:www.shchance.com.cn或致电:021-33580688/0801/0802/0806或我们在苏州、嘉兴和南京的分支机构,我们将为您提供专业、有针对性、就近的咨询及培训服务!
