ISO27701是ISO27001和ISO27002的隐私扩展,为保护隐私提供了附加指南。
ISO27701标准于2019年8月6日发布,标准草案于2018年12月12日至2019年2月25日共享以征询公众意见。ISO与MicrosoftCorporation和法国数据保护局合作于2019年8月6日发布了该标准(“CNIL”),以协助组织管理隐私信息并满足法规要求,例如通用数据保护法规(法规(EU)2016/679)(“GDPR”)。
ISO27701认证的主要目标是:
通过PIMS的扩展以及与隐私相关的控制来增强现有的信息安全管理体系(ISMS),简化复杂的重叠隐私法的管理,创建一个以证据为基础的隐私计划,并通过公认的认证形式表明该计划的合规性,并作为潜在的GDPR合规性的基础。
现在发布的ISO27701认证标准还实现了其他一些目的。一方面,它充当PIMS与ISMS或ISO27001之间关系和连接的概述。它还详述了所需的功能,并列出了PIMS数据处理器和控制器的隐私控制。在更大范围内,ISO27701认证将信息隐私要求映射到相关的ISO标准和GDPR。
下面提供了适用于控制器和处理器的某些关键ISO27701认证关键要求的高级概述。
1)机密性--被授权访问PII的个人必须签署保密协议。
2)分析风险--必须进行隐私风险评估以识别PII处理风险。
3)监督--组织必须任命一个负责制定,实施,维护和监视其治理和隐私计划的人员。
4)培训--需要对有权使用PII的人员进行隐私意识培训。
5)内部流程--组织必须采用各种政策和程序,例如针对违反PII的事件响应计划。
6)保持记录--ISO27701要求组织保留所有PII处理活动的记录,包括管辖区之间的PII转移和向第三方的披露。
ISO27701认证对控制器特定要求
1)隐私权声明--组织必须提供隐私政策,其中包含有关PII收集,使用和处理的特定信息。
2)处理器合同要求--组织必须与处理者签订书面合同,处理特定项目,例如保护PII,将处理限制为收集PII的特定目的,并提供违反PII的通知。
3)个人权利--ISO27701要求组织实施各种机制,以容纳个人访问,更正和删除其PII的权利,以及反对或限制PII的处理等。
4)设计和默认情况下的隐私--组织必须采取措施,通过设计使隐私原则和默认情况下的隐私原则付诸实践。
