業(yè)務(wù)挑戰

隨著(zhù)信息技術(shù)的不斷發(fā)展，人們對信息安全的關(guān)注日益提升，全球多個(gè)國家和地區相繼出臺了一系列隱私保護的法律法規，例如歐盟的GDPR，中國的網(wǎng)絡(luò )安全法，以及香港的個(gè)人隱私條例等，當前幾乎所有的組織都有處理個(gè)人信息 (PII) 的情況。

面對愈加嚴格的監管趨勢和眾多且復雜的法律法規, 企業(yè)如何有效的管理和保護用戶(hù)個(gè)人信息及隱私？

個(gè)人隱私安全管理體系國際標準。

ISO/IEC27001作為國際上公認的信息安全管理體系標準，在隱私保護方面提供了部分所需的信息安全控制措施，但如何從PII控制者和PII處理者二者不同的角度來(lái)實(shí)現和滿(mǎn)足不同國家和地區的隱私保護法律法規的要求，并沒(méi)有提供足夠的操作指引。

因此，新標準ISO/IEC27701隱私信息管理體系應勢而生。助力企業(yè)為GDPR合規展現、保護用戶(hù)隱私和個(gè)人信息合規管理提供了更多相關(guān)指南。

服務(wù)概述

2019年8月6日，國際標準化組織ISO和國際電工委員會(huì )IEC正式對外發(fā)布ISO/IEC27701隱私信息管理體系標準。這標志著(zhù)信息安全、隱私與個(gè)人信息保護，在國際間法律與法規的合規展現有了一致性的標準。

ISO/IEC27701作為ISO/IEC27001與ISO/IEC27002在管理上的延伸標準，其目標是通過(guò)新增的要求來(lái)增強現有信息安全管理體（ISMS）,以便建立、實(shí)施、維護和不斷改進(jìn)隱私信息管理體系（PIMS），標準概述了適用于個(gè)人身份信息（PII）控制者和PII處理者的框架，用于隱私控制管理，以降低對個(gè)人隱私的各種風(fēng)險。

（PS: 歐盟GDPR主責機構，前身為Article 29 Working Party的European Data Protection Board (EDPB)，于ISO/IEC27701的發(fā)展過(guò)程中積極參與，并提供歐盟個(gè)人信息保護的相關(guān)建議，如ISO/IEC27701與GDPR的條文對應。包含SC27眾會(huì )員國與EDPB，JTC1/SC27在各方達成合意后，公告了ISO/IEC27701，這也是為什么國際間認為ISO/IEC27701目前為GDPR合規展現的優(yōu)秀方案之一。）

ISO27701認證的主要目標是什么？

通過(guò)PIMS的擴展以及與隱私相關(guān)的控制來(lái)增強現有的信息安全管理體系（ISMS），簡(jiǎn)化復雜的重疊隱私法的管理，創(chuàng )建一個(gè)以證據為基礎的隱私計劃，并通過(guò)公認的認證形式表明該計劃的合規性，并作為潛在的GDPR合規性的基礎。

現在發(fā)布的ISO27701認證標準還實(shí)現了其他一些目的。一方面，它充當PIMS與ISMS或ISO27001之間關(guān)系和連接的概述。它還詳述了所需的功能，并列出了PIMS數據處理器和控制器的隱私控制。在更大范圍內，ISO27701認證將信息隱私要求映射到相關(guān)的ISO標準和GDPR。

1． 可以使用一個(gè)體系來(lái)管理來(lái)自不同國家和地區的多項隱私法規和政策的合規性；

2．有助于組織向組織的最高管理層、合作伙伴、監管機構及其他相關(guān)方提供組織有關(guān)隱私法規工作的盡職管理證據；

3．隱私信息管理體系認證能向客戶(hù)和合作伙伴傳遞信任。

ISO/IEC27701隱私信息管理體系標準作為隱私保護和個(gè)人信息管理的ISO國際標準。不僅帶來(lái)新增的特定隱私要求，以便有效整合現行ISO/IEC27001信息安全管理體系，未來(lái)更是針對隱私保護之特定領(lǐng)域 (PIMS-Specific)，以 ISO/IEC27001延伸認證的方式實(shí)施，信息安全管理將與隱私信息管理進(jìn)行密切整合。

如何實(shí)施ISO27001認證？

要求供應商代表他們處理和維護PII的客戶(hù)應考慮合同規定這些供應商不僅要遵守ISO27001，而且要符合ISO27701，或者在適用于數據敏感性的情況下獲得ISO27701標準的認證。即使客戶(hù)不要求供應商通過(guò)獨立的第三方認證也符合新標準ISO27701認證，他們仍可能希望更新合同以確保供應商可以符合ISO27701認證的要求。由于ISO27701認證仍然非常對于新合同，賣(mài)方應遵守本新標準的規定合理的時(shí)間延遲，以便將其包括在這些合同中。

已通過(guò)ISO27001認證并希望實(shí)施ISO27701要求的組織應考慮采取以下步驟：

1．對現有ISMS進(jìn)行符合ISO27701認證要求的差距評估，并就如何解決這些差距制定行動(dòng)計劃。

2．對組織收集的PII進(jìn)行數據映射，以了解收集的PII的范圍以及如何使用和與處理器共享。

3．根據與組織環(huán)境相關(guān)的內部或外部因素（例如適用的隱私法規，法規，司法決定或合同要求）確定組織作為控制者和/或處理者的角色。

4．查看并更新隱私策略，以確保它們包含必需的信息。

5．制定適用于組織角色的政策和程序。

6．通過(guò)設計和默認原則開(kāi)始規劃和實(shí)施隱私。

在世界各地，立法者和監管者都在引入新的法律來(lái)規范數據的使用，尤其是PII。最近，GDPR的出現使許多企業(yè)（包括客戶(hù)和供應商）爭相達成合規性。不斷變化的法律環(huán)境給所有企業(yè)帶來(lái)了挑戰，尤其是必須遵守多個(gè)司法管轄區法規的企業(yè)。新的ISO27701認證標準不會(huì )嘗試單獨和本地處理每項新法律，而是提供一種統一的方式來(lái)決定，計劃，實(shí)施和記錄組織在全球范圍內的數據隱私方法。

無(wú)論組織的規模大小，是PII的控制者還是處理者，企業(yè)都應考慮為自己的組織或向供應商要求獲得ISO27701認證。對于處理敏感或大量PII的處理器，子處理器和聯(lián)合控制器尤其如此。