ISO/IEC 27701隐私信息管理体系标准PIMS权威解析

添加时间：2020-09-29 13:25:13 浏览：

随着社交媒体APP和物联网设备在生活中的广泛应用，以及全球隐私法律法规的激增，诸如：《欧盟通用数据保护条例》（GDPR）、《加州消费者隐私法》（CCPA）和《中国网络安全法》（China network security Law），隐私保护问题已然成为了当前社会的焦点，这意味着组织现在面临着来自客户、最终用户、投资者和监管机构的多重压力，企业如何管理个人可识别信息（PII）或个人数据，如何确保隐私合规，都成为摆在企业面前亟待解决的新问题和新挑战。

2019年8月发布的隐私安全标准ISO/IEC 27701:2019，能帮助企业拓展ISO /IEC 27001体系对保护隐私的局限性，更全面、准确、充分地应对隐私保护及合规要求。

ISO/IEC 27701:2019的正式名称为安全技术--ISO/IEC 27001 和 ISO/IEC 27002 对隐私信息管理的扩展--要求和指南。其以ISO/IEC 27001 和 ISO/IEC 27002 对隐私信息管理的扩展方式，为在组织范围内建立、实施、维护和持续改进隐私信息管理体系（PIMS）指定要求，并提供指南。

与ISO/IEC 27001 配合使用，是认证要求和实施指南的组合体。它是对ISO/IEC 27001 的扩展，因其增加了附加的PIMS 相关要求，如条款5、附录 A 和附录 B。认证要求在标准中共有67项，表述为'应'。同时，为组织实施 PIMS，还增加了从ISO/IEC 27002 到 PIMS的附加指南，例如条款6、7和8。

主要条款详情：

条款5：与 ISO/IEC 27001 相关的PIMS特定要求

涵盖了对 ISO/IEC 27001:2013 条款4~10附加的要求，均为认证要求。例如，如本标准中条款5.7.2 的表述：ISO/IEC 27001:2013，9.2 中所述要求以及5.1 中所述的解释均适用。

该标准不增加任何新的内部审核要求，只要组织理解这是ISO/IEC 27001:2013 对处理个人可识别信息(PII)所可能增加风险的“信息安全”要求。

条款6：与ISO/IEC 27002相关的PIMS特定指南

涵盖了与ISO/IEC 27002有关的其他PIMS相关指南。例如，标准条款6.9.4.4（与 ISO/IEC 27001:2013 的12.4.4 时钟同步相对应）不包含任何附加要求，因为时钟同步与隐私风险没有相关性。另一方面，标准条款6.9.3.1 （与 ISO/IC 27001:2013 的12.3.1 信息备份相对应）则增加较多的隐私管理指南，因为信息备份可能存在隐私风险，例如数据保留期、跨境数据传输等。下表总结了 ISO/IEC 27002 各个领域中的控制点的数量。在 ISO/IEC 27002 中，共对32项新的控制点进行了修订。与ISO/IEC 27002一样，条款6中的指南为非认证条款。

条款7：对PII控制者附加的ISO/IEC 27002指南

为 PII 控制者提供指南。对于 PII 控制者所需的所有控制点都列在标准的附录A 中。这些控制点是规范性的，这意味着如果组织作为控制者，则应实施这些控制（参见如下认证中的 PII 控制者与PII 处理者）。条款7中所提供的指南有助于组织实施这些控制。然而，这些指南为非认证性的。

条款8：对PII处理者附加的ISO/IEC 27002指南

为 PII 处理者提供指南。本标准附录 B 列出了 PII 处理者的控制点。与附录 A 相似，如果组织作为处理者，这些控制点是规范性的。条款8的指南是非认证性的。

企业获得 ISO/IEC 27701 认证的益处

•获取客户关于组织对隐私信息管理方面的信任，以获得潜在业务

•证实组织对其产品和服务目标市场所在地隐私法规的遵从，获得所在地的市场准入

•向相关方证实其在隐私管理方面的能力和符合性

•组织自身为证实其在隐私管理方面的能力和符合性

英伦凯悦简介：

英伦凯悦是经国家认监委、北京市质量技术监督局批准的专业管理体系咨询服务机构，是中国电子工业标准化技术协会ITSS分会理事单位，中国认证认可协会CCAA首批备案认证咨询机构，北京企业管理咨询协会BEMCA会员单位。

英伦凯悦主要从事ISO27001、ISO27017、ISO27018、ISO27701、ISO22301、ISO20000、ISO38505、ISO29100、ITSS、CMMI、CCRC、CCID、CS信息系统集成等管理体系标准的咨询评估服务。