關(guān)于ISO27701隱私保護(hù)認(rèn)證——您想了解的都在這里
發(fā)布時(shí)間:2025-05-18 點(diǎn)擊:30
1、隱私保護(hù)的重要性被不斷強(qiáng)調(diào),我國(guó)有與此相關(guān)的法律法規(guī)嗎?
《中國(guó)人民共和國(guó)刑法》第二百五十三條之一:違反國(guó)家有關(guān)規(guī)定,向他人出售或者提供公民個(gè)人信息,情節(jié)嚴(yán)重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節(jié)特別嚴(yán)重的,處三年以上七年以下有期徒刑,并處罰金。違反國(guó)家有關(guān)規(guī)定,將在履行職責(zé)或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息,出售或者提供給他人的,依照前款的規(guī)定從重處罰。
2017年6月1日起正式實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(通常簡(jiǎn)稱《網(wǎng)安法》),是我國(guó)首部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問(wèn)題的基礎(chǔ)性法律,一共有7章79條,包含了網(wǎng)絡(luò)運(yùn)行安全、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全、網(wǎng)絡(luò)信息安全等內(nèi)容。《網(wǎng)安法》的第四十至四十五條中,明確了在數(shù)據(jù)(包括個(gè)人信息)安全與保護(hù)上的諸多規(guī)定。
此外,我國(guó)還先后出臺(tái)了《信息安全技術(shù)個(gè)人信息安全規(guī)范》、《App違法違規(guī)收集使用個(gè)人信息自評(píng)估指南》、《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》等規(guī)范和指南,明確規(guī)定了個(gè)人信息收集、存儲(chǔ)和使用等方面的諸多要求。《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》《信息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南(草案)》《個(gè)人信息保護(hù)法(草案)》也在意見(jiàn)收集過(guò)程中,并將陸續(xù)頒布。
2、隱私保護(hù)有哪些相關(guān)的主體角色?
ISO29100中定義了以下角色:
PII主體:與個(gè)人身份信息(PII)相關(guān)的自然人
PII控制者:有權(quán)決定個(gè)人信息處理目的、方式等的組織或個(gè)人。
PII處理者:按照PII控制者的要求處理個(gè)人身份信息等的組織或個(gè)人。
3、ISO組織有哪些關(guān)于隱私保護(hù)的標(biāo)準(zhǔn)?
ISO27001 信息安全管理體系要求
ISO27002 信息安全控制實(shí)用規(guī)則
ISO27018 公有云中PII處理者的PII保護(hù)實(shí)用規(guī)則
ISO29100 隱私框架
ISO29134 隱私影響評(píng)估指南
ISO29151 PII保護(hù)實(shí)用規(guī)則
ISO27701 擴(kuò)展的ISO/IEC27001和ISO/IEC27002-隱私信息管理要求和指南
4、ISO27701認(rèn)證標(biāo)準(zhǔn)的結(jié)構(gòu)
ISO27701認(rèn)證是ISO27001和ISO27002在隱私信息管理方面的擴(kuò)展,并在隱私保護(hù)方面提供了必要的額外要求。ISO/IEC27701認(rèn)證標(biāo)準(zhǔn)的正文由8個(gè)條款組成,其中:
條款1-4,給出了標(biāo)準(zhǔn)的范圍,術(shù)語(yǔ)、定義等。條款5介紹了ISO27001中延伸出的關(guān)于PIMS的擴(kuò)展要求以及本標(biāo)準(zhǔn)對(duì)PIMS的附加要求。條款6介紹了ISO27002中對(duì)PIMS的擴(kuò)展及附加要求。上述條款對(duì)PII的控制者和處理者均適用。條款7給出了針對(duì)PII控制者的ISO27002擴(kuò)展指南。條款8給出了針對(duì)PII處理者的ISO27002擴(kuò)展指南。這兩章從PII的收集和處理,對(duì)PII主體的義務(wù),Privacy by design & Privacy by default,PII的共享、傳輸和披露四個(gè)方面做出了相應(yīng)規(guī)定。
ISO27701認(rèn)證標(biāo)準(zhǔn)附錄A是針對(duì)PII控制者的PIMS特定的控制目標(biāo)和控制措施。附錄B是針對(duì)PII處理者的PIMS特定的控制目標(biāo)和控制措施。附錄C給出了標(biāo)準(zhǔn)與ISO/IEC29100的映射。附錄D是與GDPR的映射。附錄E是與ISO/IEC27018和ISO/IEC29151的映射。附錄F則是如何在處理PII時(shí)將ISO/IEC27001和ISO/IEC27002擴(kuò)展到隱私保護(hù)。
總體而言,ISO27701認(rèn)證標(biāo)準(zhǔn)通過(guò)第5章和第6章將ISO27002與附加的PIMS控制項(xiàng)構(gòu)成了完整的信息安全和隱私管理體系。第7章和第8章從數(shù)據(jù)生命周期的角度新增分別針對(duì)PII控制者和處理者的控制要求。
5、ISO27701的適用范圍
ISO27701認(rèn)證可供PII控制者(包括聯(lián)合PII控制者)和PII處理者(包括使用分包的PII處理者和作為分包商處理PII的PII處理者)使用。
6、ISO27701 與ISO27001
注:5.1中“信息安全”的擴(kuò)展解釋,即使沒(méi)有特定于PIMS的要求,也始終適用。
7、ISO27701與ISO27002
注:6.1中“信息安全”的擴(kuò)展解釋,即使沒(méi)有特定于PIMS的要求,也始終適用。ISO 27701基于ISO 27001和ISO 27002并考慮了可能受PII處理影響的PII主體的隱私保護(hù),所以在使用術(shù)語(yǔ)“信息安全”時(shí),應(yīng)替換為“信息安全和隱私”。
8、ISO27701與ISO29151
ISO27701與ISO27018
ISO/IEC29151為PII控制者處理PII提供了額外的控制和指導(dǎo)。ISO/IEC27018為充當(dāng)PII處理者并提供公共云服務(wù)的組織提供了進(jìn)一步的信息。
ISO27701在ISO27001和ISO27002的基礎(chǔ)上,遵循PDCA的理念,從管理體系的角度分別對(duì)個(gè)人可識(shí)別信息控制者和個(gè)人可識(shí)別信息處理者進(jìn)行規(guī)范和指導(dǎo)。另外,ISO27701更全面地覆蓋了GDPR的要求。
ISO27701的附錄E給出了ISO27701與ISO/IEC27018和ISO/IEC29151之間的指示性映射,用以說(shuō)明ISO27701的要求和控制措施如何與ISO/IEC 27018和/或ISO/IEC29151的規(guī)定保持一致。
9、ISO27701與GDPR
作為國(guó)際通用的標(biāo)準(zhǔn),ISO27701的認(rèn)證能在極大程度上表明組織符合GDPR的要求,附錄D中給出了ISO27701認(rèn)證與GDPR第5條至第49條之間(43條除外)的映射關(guān)系。值得注意的是,ISO27701中使用的術(shù)語(yǔ)“PII”,在GDPR則使用的是“data”。此外,兩者具體要求的顆粒度也有所不同。
10、實(shí)施ISO27701認(rèn)證對(duì)組織來(lái)說(shuō)有哪些必要性?
ISO27701認(rèn)證的目標(biāo)是通過(guò)對(duì)于隱私保護(hù)的控制實(shí)現(xiàn)對(duì)ISMS進(jìn)行補(bǔ)充,有效的協(xié)助組織對(duì)隱私風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析、采取措施將風(fēng)險(xiǎn)降到可接受水平并維持該水平,幫助組織建立PIMS,實(shí)現(xiàn)有效的隱私管理,從而使組織獲益。
通過(guò)明確對(duì)PII控制者和處理者的隱私保護(hù)要求,可以使組織明確隱私保護(hù)管理合規(guī)目標(biāo),減輕組織合規(guī)負(fù)擔(dān)的同時(shí)降低組織合規(guī)風(fēng)險(xiǎn),ISO27701認(rèn)證標(biāo)準(zhǔn)附錄D中明確表示,單個(gè)隱私控制點(diǎn)可以滿足GDPR中的多項(xiàng)要求。
實(shí)現(xiàn)持續(xù)的個(gè)人隱私安全合規(guī)對(duì)于任何組織都是一個(gè)安全治理的課題,ISO27701通過(guò)建立PIMS,可以確保組織高級(jí)管理層、組織所有者以及關(guān)鍵相關(guān)方的利益滿足隱私保護(hù)要求,從而使組織實(shí)現(xiàn)長(zhǎng)期、有效的個(gè)人隱私安全合規(guī)。
PIMS認(rèn)證可以向客戶或合作伙伴傳達(dá)隱私合規(guī)價(jià)值。PII控制者通常會(huì)要求PII處理者提供相關(guān)證據(jù),從而證明PII處理者的隱私管理體系符合適用的隱私管理要求。通過(guò)得到授權(quán)的第三方機(jī)構(gòu)對(duì)PII處理者進(jìn)行基于國(guó)際標(biāo)準(zhǔn)的審核,可以極大地降低合規(guī)溝通成本,這種合規(guī)透明度的提高對(duì)于組織戰(zhàn)略和業(yè)務(wù)決策至關(guān)重要,同時(shí)PIMS認(rèn)證也有助于向公眾傳達(dá)組織的可信度。
如何代辦綠色環(huán)保推廣產(chǎn)品要多長(zhǎng)時(shí)間
成都ISO9000體系與ISO14000體系相似之處
ISO 9001 和TS16949主要的區(qū)別是什么?
提前備戰(zhàn)2023年綠色工廠申報(bào)!先準(zhǔn)備這些,通過(guò)率更高!
轟動(dòng)認(rèn)證屆的那一張圖,到底還有多少秘密?
專利中的人、財(cái)、市
一定要知道:ISO27001認(rèn)證的重要性!
QES三體系認(rèn)證有什么用?
《中國(guó)人民共和國(guó)刑法》第二百五十三條之一:違反國(guó)家有關(guān)規(guī)定,向他人出售或者提供公民個(gè)人信息,情節(jié)嚴(yán)重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節(jié)特別嚴(yán)重的,處三年以上七年以下有期徒刑,并處罰金。違反國(guó)家有關(guān)規(guī)定,將在履行職責(zé)或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息,出售或者提供給他人的,依照前款的規(guī)定從重處罰。
2017年6月1日起正式實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(通常簡(jiǎn)稱《網(wǎng)安法》),是我國(guó)首部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問(wèn)題的基礎(chǔ)性法律,一共有7章79條,包含了網(wǎng)絡(luò)運(yùn)行安全、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全、網(wǎng)絡(luò)信息安全等內(nèi)容。《網(wǎng)安法》的第四十至四十五條中,明確了在數(shù)據(jù)(包括個(gè)人信息)安全與保護(hù)上的諸多規(guī)定。
此外,我國(guó)還先后出臺(tái)了《信息安全技術(shù)個(gè)人信息安全規(guī)范》、《App違法違規(guī)收集使用個(gè)人信息自評(píng)估指南》、《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》等規(guī)范和指南,明確規(guī)定了個(gè)人信息收集、存儲(chǔ)和使用等方面的諸多要求。《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》《信息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南(草案)》《個(gè)人信息保護(hù)法(草案)》也在意見(jiàn)收集過(guò)程中,并將陸續(xù)頒布。
2、隱私保護(hù)有哪些相關(guān)的主體角色?
ISO29100中定義了以下角色:
PII主體:與個(gè)人身份信息(PII)相關(guān)的自然人
PII控制者:有權(quán)決定個(gè)人信息處理目的、方式等的組織或個(gè)人。
PII處理者:按照PII控制者的要求處理個(gè)人身份信息等的組織或個(gè)人。
3、ISO組織有哪些關(guān)于隱私保護(hù)的標(biāo)準(zhǔn)?
ISO27001 信息安全管理體系要求
ISO27002 信息安全控制實(shí)用規(guī)則
ISO27018 公有云中PII處理者的PII保護(hù)實(shí)用規(guī)則
ISO29100 隱私框架
ISO29134 隱私影響評(píng)估指南
ISO29151 PII保護(hù)實(shí)用規(guī)則
ISO27701 擴(kuò)展的ISO/IEC27001和ISO/IEC27002-隱私信息管理要求和指南
4、ISO27701認(rèn)證標(biāo)準(zhǔn)的結(jié)構(gòu)
ISO27701認(rèn)證是ISO27001和ISO27002在隱私信息管理方面的擴(kuò)展,并在隱私保護(hù)方面提供了必要的額外要求。ISO/IEC27701認(rèn)證標(biāo)準(zhǔn)的正文由8個(gè)條款組成,其中:
條款1-4,給出了標(biāo)準(zhǔn)的范圍,術(shù)語(yǔ)、定義等。條款5介紹了ISO27001中延伸出的關(guān)于PIMS的擴(kuò)展要求以及本標(biāo)準(zhǔn)對(duì)PIMS的附加要求。條款6介紹了ISO27002中對(duì)PIMS的擴(kuò)展及附加要求。上述條款對(duì)PII的控制者和處理者均適用。條款7給出了針對(duì)PII控制者的ISO27002擴(kuò)展指南。條款8給出了針對(duì)PII處理者的ISO27002擴(kuò)展指南。這兩章從PII的收集和處理,對(duì)PII主體的義務(wù),Privacy by design & Privacy by default,PII的共享、傳輸和披露四個(gè)方面做出了相應(yīng)規(guī)定。
ISO27701認(rèn)證標(biāo)準(zhǔn)附錄A是針對(duì)PII控制者的PIMS特定的控制目標(biāo)和控制措施。附錄B是針對(duì)PII處理者的PIMS特定的控制目標(biāo)和控制措施。附錄C給出了標(biāo)準(zhǔn)與ISO/IEC29100的映射。附錄D是與GDPR的映射。附錄E是與ISO/IEC27018和ISO/IEC29151的映射。附錄F則是如何在處理PII時(shí)將ISO/IEC27001和ISO/IEC27002擴(kuò)展到隱私保護(hù)。
總體而言,ISO27701認(rèn)證標(biāo)準(zhǔn)通過(guò)第5章和第6章將ISO27002與附加的PIMS控制項(xiàng)構(gòu)成了完整的信息安全和隱私管理體系。第7章和第8章從數(shù)據(jù)生命周期的角度新增分別針對(duì)PII控制者和處理者的控制要求。
5、ISO27701的適用范圍
ISO27701認(rèn)證可供PII控制者(包括聯(lián)合PII控制者)和PII處理者(包括使用分包的PII處理者和作為分包商處理PII的PII處理者)使用。
6、ISO27701 與ISO27001
| ISO27001中的條款 | 標(biāo)題 | ISO27701中的子條款 | 備注 |
| 4 | 組織環(huán)境 | 5.2 | 補(bǔ)充要求 |
| 5 | 領(lǐng)導(dǎo) | 5.3 | 沒(méi)有特定于PIMS的要求 |
| 6 | 規(guī)劃 | 5.4 | 補(bǔ)充要求 |
| 7 | 支持 | 5.5 | 沒(méi)有特定于PIMS的要求 |
| 8 | 運(yùn)行 | 5.6 | 沒(méi)有特定于PIMS的要求 |
| 9 | 績(jī)效評(píng)價(jià) | 5.7 | 沒(méi)有特定于PIMS的要求 |
| 10 | 改進(jìn) | 5.8 | 沒(méi)有特定于PIMS的要求 |
7、ISO27701與ISO27002
| ISO27002中的條款 | 標(biāo)題 | ISO27701中的子條款 | 備注 |
| 5 | 信息安全策略 | 6.2 | 補(bǔ)充指南 |
| 6 | 信息安全組織 | 6.3 | 補(bǔ)充指南 |
| 7 | 人力資源安全 | 6.4 | 補(bǔ)充指南 |
| 8 | 資產(chǎn)管理 | 6.5 | 補(bǔ)充指南 |
| 9 | 訪問(wèn)控制 | 6.6 | 補(bǔ)充指南 |
| 10 | 密碼 | 6.7 | 補(bǔ)充指南 |
| 11 | 物理和環(huán)境安全 | 6.8 | 補(bǔ)充指南 |
| 12 | 運(yùn)行安全 | 6.9 | 補(bǔ)充指南 |
| 13 | 通信安全 | 6.1 | 補(bǔ)充指南 |
| 14 | 系統(tǒng)的獲取,開(kāi)發(fā)和維護(hù) | 6.11 | 補(bǔ)充指南 |
| 15 | 供應(yīng)商關(guān)系 | 6.12 | 補(bǔ)充指南 |
| 16 | 信息安全事件管理 | 6.13 | 補(bǔ)充指南 |
| 17 | 業(yè)務(wù)連續(xù)性管理的信息安全方面 | 6.14 | 沒(méi)有特定于PIMS的指南 |
| 18 | 符合性 | 6.15 | 補(bǔ)充指南 |
8、ISO27701與ISO29151
ISO27701與ISO27018
ISO/IEC29151為PII控制者處理PII提供了額外的控制和指導(dǎo)。ISO/IEC27018為充當(dāng)PII處理者并提供公共云服務(wù)的組織提供了進(jìn)一步的信息。
ISO27701在ISO27001和ISO27002的基礎(chǔ)上,遵循PDCA的理念,從管理體系的角度分別對(duì)個(gè)人可識(shí)別信息控制者和個(gè)人可識(shí)別信息處理者進(jìn)行規(guī)范和指導(dǎo)。另外,ISO27701更全面地覆蓋了GDPR的要求。
ISO27701的附錄E給出了ISO27701與ISO/IEC27018和ISO/IEC29151之間的指示性映射,用以說(shuō)明ISO27701的要求和控制措施如何與ISO/IEC 27018和/或ISO/IEC29151的規(guī)定保持一致。
9、ISO27701與GDPR
作為國(guó)際通用的標(biāo)準(zhǔn),ISO27701的認(rèn)證能在極大程度上表明組織符合GDPR的要求,附錄D中給出了ISO27701認(rèn)證與GDPR第5條至第49條之間(43條除外)的映射關(guān)系。值得注意的是,ISO27701中使用的術(shù)語(yǔ)“PII”,在GDPR則使用的是“data”。此外,兩者具體要求的顆粒度也有所不同。
10、實(shí)施ISO27701認(rèn)證對(duì)組織來(lái)說(shuō)有哪些必要性?
ISO27701認(rèn)證的目標(biāo)是通過(guò)對(duì)于隱私保護(hù)的控制實(shí)現(xiàn)對(duì)ISMS進(jìn)行補(bǔ)充,有效的協(xié)助組織對(duì)隱私風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析、采取措施將風(fēng)險(xiǎn)降到可接受水平并維持該水平,幫助組織建立PIMS,實(shí)現(xiàn)有效的隱私管理,從而使組織獲益。
通過(guò)明確對(duì)PII控制者和處理者的隱私保護(hù)要求,可以使組織明確隱私保護(hù)管理合規(guī)目標(biāo),減輕組織合規(guī)負(fù)擔(dān)的同時(shí)降低組織合規(guī)風(fēng)險(xiǎn),ISO27701認(rèn)證標(biāo)準(zhǔn)附錄D中明確表示,單個(gè)隱私控制點(diǎn)可以滿足GDPR中的多項(xiàng)要求。
實(shí)現(xiàn)持續(xù)的個(gè)人隱私安全合規(guī)對(duì)于任何組織都是一個(gè)安全治理的課題,ISO27701通過(guò)建立PIMS,可以確保組織高級(jí)管理層、組織所有者以及關(guān)鍵相關(guān)方的利益滿足隱私保護(hù)要求,從而使組織實(shí)現(xiàn)長(zhǎng)期、有效的個(gè)人隱私安全合規(guī)。
PIMS認(rèn)證可以向客戶或合作伙伴傳達(dá)隱私合規(guī)價(jià)值。PII控制者通常會(huì)要求PII處理者提供相關(guān)證據(jù),從而證明PII處理者的隱私管理體系符合適用的隱私管理要求。通過(guò)得到授權(quán)的第三方機(jī)構(gòu)對(duì)PII處理者進(jìn)行基于國(guó)際標(biāo)準(zhǔn)的審核,可以極大地降低合規(guī)溝通成本,這種合規(guī)透明度的提高對(duì)于組織戰(zhàn)略和業(yè)務(wù)決策至關(guān)重要,同時(shí)PIMS認(rèn)證也有助于向公眾傳達(dá)組織的可信度。
如何代辦綠色環(huán)保推廣產(chǎn)品要多長(zhǎng)時(shí)間
成都ISO9000體系與ISO14000體系相似之處
ISO 9001 和TS16949主要的區(qū)別是什么?
提前備戰(zhàn)2023年綠色工廠申報(bào)!先準(zhǔn)備這些,通過(guò)率更高!
轟動(dòng)認(rèn)證屆的那一張圖,到底還有多少秘密?
專利中的人、財(cái)、市
一定要知道:ISO27001認(rèn)證的重要性!
QES三體系認(rèn)證有什么用?