ISO27701隐私信息管理体系

隐私信息管理体系

ISO 27701

  2019 年 8 月 6 日，国际标准化组织 (ISO) 和国际电工委员会 (IEC) 发布了 ISO/IEC 27701 (ISO 27701)——ISO/IEC 27001 和 ISO/IEC 27002 的隐私扩展，旨在帮助组织机构保护和控制所处理的个人信息。与现有 ISO 标准 ISO 27701 补充类似，该新 ISO 标准可能成为组织机构保护个人可识别信息 (PII) 的事实标准，且可能用于证明包括《通用数据保护条例》(EU) 2016/679 (GDPR) 在内的全球隐私合规。

  ISO 27701 源自 ISO/IEC 27552，为建立、实现、维护和持续改进隐私信息管理系统 (PIMS) 提供具体要求和指南，令 PIMS 作为 ISO 27001 中定义的灵活信息安全管理系统 (ISMS) 的扩展，在信息安全的基础上将处理 PII 所需的隐私保护纳入考虑。与 ISO 27001 标准类似， ISO 27701 不期望组织机构在所有情况下采纳每一条控制。相反，该标准要求组织机构理解自身 PII 处理的具体上下文，以适合其处理活动的方式调整特定控制集和与之相关的实现。

  为更好地理解新标准，需要弄清两个关键术语：控制者和处理者。这两个术语在很多隐私法律和规定中都能见到，包括 GDPR。通常，“控制者” 是指示为什么要收集和处理 PII 的实体，“处理者” 是代表该控制者负责处理此数据的另一个法律实体（非员工）。

客户若想雇佣供应商代表自己处理和维护 PII，应考虑以合同的形式要求这些供应商不仅遵从 ISO 27001，还要遵从 ISO 27701，或者在数据敏感度适用的情况下取得符合该标准的认证。即使客户不要求供应商经过独立第三方的新标准合规认证，可能也想要更新合同，确保供应商能够符合 ISO 27701 的要求。鉴于 ISO 27701 才刚发布，合同中也可写入供应商符合新标准要求的合理时延。

按照 ISO 27701 的要求对现有 ISMS 执行漏洞评估，生成如何解决这些漏洞的行动计划。

对组织机构收集的 PII 执行数据映射，了解所收集 PII 的范围，弄清处理者共享和使用 PII 的方式。

审核并更新隐私政策，确保含有所要求的信息。

制定适用于该组织机构角色的策略和规程。

开始规划和实现设计隐私与默认隐私原则。