ISO/IEC 27701 隐私信息管理体系PIMS 认证
ISO/IEC 27701最初开发为ISO/IEC 27552,它为建立,实施,维护和持续改进隐私信息管理体系(PIMS)提供了特定要求和指导,作为对隐私信息安全管理体系(ISMS)中定义的扩展。 ISO/IEC 27001不仅考虑了信息安全性,还考虑了处理PII所需的隐私保护。 像ISO/IEC 27001标准一样,ISO/IEC 27701并不希望组织在所有情况下都采用每种控件。 相反,它要求组织了解处理PII的特定上下文,并以适合其处理活动的方式调整特定的控件集以及这些控件的相关实现。
为了更好地理解新标准,应理解以下关键术语:控制器,联合控制器,处理器和子处理器。 这些或类似术语在包括GDPR在内的许多隐私法律和法规中都可以找到。 通常,“控制者”是指示首先收集和处理PII的原因的实体,“联合控制者”是两个或多个共同提供此方向的实体。 “处理器”是代表该控制器负责处理此类数据的独立法律实体(即,不是雇员),“子处理器”是由另一处理器聘用的处理器。
新发布的标准既适用于PII的控制器(以及联合控制器),也适用于PII的处理器(包括子处理器),而不管其运营所在的管辖区和部门如何,并且还包括对GDPR和ISO / IEC的映射29100,ISO/IEC 27018和ISO/IEC 29151安全框架。 ISO/IEC 27701要求与其他隐私法律的映射,例如《 2018年加利福尼亚消费者隐私法案》(CCPA),《格拉姆-里奇-布莱利法案》(GLBA)和《 1996年健康保险携带和责任法案》(HIPAA)应该是预期的,并且将通过提供证明遵守这些监管制度的通用标准来帮助组织。
下面概述了适用于控制器和处理器的某些关键ISO/IEC 27701关键要求:
适用于控制器和处理器的要求
保密。 被授权访问PII的个人必须签署保密协议。
分析风险。 必须进行隐私风险评估以识别PII处理风险。
监督 组织必须任命一个负责开发,实施,维护和监视其治理和隐私计划的人员。
训练。 需要对有权使用PII的人员进行隐私意识培训。
内部流程。 组织必须采用各种政策和程序,例如针对违反PII的事件响应计划。
保持记录中。 ISO/IEC 27701要求组织保留所有PII处理活动的记录,包括管辖区之间的PII转移和向第三方的披露。
控制器特定要求
隐私权声明。 组织必须提供隐私政策,其中包含有关PII收集,使用和处理的特定信息。
处理器合同要求。 组织必须与处理者签订书面合同,处理特定项目,例如保护PII,将处理限制为收集PII的特定目的,并提供违反PII的通知。
个人权利。 ISO/IEC 27701要求组织实施各种机制,以容纳个人访问,更正和删除其PII的权利,以及反对或限制PII的处理等。
设计和默认情况下的隐私。 组织必须采取措施,通过设计和默认来实施隐私原则。
处理器特定要求
处理限制。 组织必须仅根据控制器或处理器的书面说明来处理PII(取决于客户的角色)。
协助个人权利。 ISO/IEC 27701要求处理者采取措施,协助客户遵守个人权利。
转让和披露。 加工商必须提前将司法管辖区之间的PII转移或其任何预期变更告知客户。
分包商。 ISO/IEC 27701要求处理器仅根据客户合同的条款委聘分包商处理PII。
