盡管GDPR生效已超過一年，但迄今為止，還沒有針對它的認證標準。 Coalfire的David Forman探索了新發布的ISO 27701如何與GDPR保持一致，以及將其用作GDPR認證標準的可能性和后果。
2023年8月6日，國際標準化組織（ISO）提前五個月發布了ISO / IEC 27701：2019（ISO 27701）標準。 此版本是第一個國際隱私標準； 它概述了實施組織計劃（稱為隱私信息管理系統（PIMS））以管理對個人身份信息（PII）進行處理的要求。
ISO 27701是第一個引用非ISO實際開發的外部框架或出版物的ISO標準。 在這種情況下，外部參考不過是標題為歐盟通用數據保護條例（ GDPR ）的標題。 考慮到隱私問題的歷史和現狀，全球隱私法規，實施以及ISO 27701的當前通過，必須考慮ISO 27701是否可以成為GDPR的認證途徑。
要了解該標準對證明遵守隱私規則可能產生的影響，我們必須首先研究自GDPR引入以來監管機構對隱私觀點的演變，這在為數據主體權利設定新的基準和解釋方面具有變革性。
自2018年5月生效以來，由于人們認為對PII的保護不當或疏忽，違反GDPR的行為對谷歌，Facebook，萬豪和英國航空等公司造成了巨額罰款。
為了捍衛數據保護機構（希望證明其執行GDPR的能力）所針對的這些早期示例：
如果無法完全減輕風險的定義，那么這些跨國公司如何獲得任何保證，以確保自己已盡力遵守該法律？
現代安全員應該客觀地展示什么，以向董事會保證他們具有可接受的保護水平？
如果仍然普遍將安全性和隱私保護誤認為是同一控制活動的輸出，那么數據保護官（DPO）的這一新角色實際上會產生什么影響？
組織已經嘗試對GDPR進行進一步的解釋和澄清，盡管GDPR第42條明確規定了“認證機制”，但仍沒有認可的確定合格性的方法（但未闡明）。
隨著越來越多的數據保護機構（如國家信息自由委員會（CNIL）和信息專員辦公室（ICO））面臨壓力，要求它們迅速采取調查行動并就GDPR的解釋提供評論，CNIL的出現是非常特殊的法國國家數據保護局，在上個月的標準制定會議上在新加坡舉行的技術委員會中派代表參加了會議，討論了ISO 27701的最終修訂和發布。
在檢查會議記錄時，主要討論重點是通過重新編號國際標準并將這些新要求映射到GDPR來推動PIMS的快速采用。 技術委員會能夠（也許很方便）使GDPR中的所有條款與ISO 27701保持一致，但第43條除外，該條款詳細規定了為GDPR提供認證的機構或各種認證計劃的要求，以確保標準審核員保持某種形式的統一。
盡管ISO 27701尚不受英國認證服務局（UKAS）或ANSI國家認證委員會（ANAB）等認證機構的監管，但盡管未定義既定的計劃，但預計認證機構將開始根據這一新的國際標準進行審核在國際認證論壇（IAF）級別。
在許多方面，該認證機制已經過時，因為定義該計劃的法律已經生效了一年多。 如果通過任何數據保護機構的認可，PIMS成為“ GDPR認證”的代名詞，組織將最終擁有一種方法，可以通過第三方審核客觀地證明其符合性。
此外，通過定期獨立檢查的經認證合規計劃，將對該行業產生許多下游影響，包括在GDPR相關調查中提供更好的辯護； 對隱私法，產品和技術支持進行更詳盡的說明； 以及更多客觀信息，供保險承保人確定風險。
這項新標準是對與隱私相關的風險進行持續管理的重要里程碑，并且是隨著組織環境的發展而提倡成熟流程的替代規范性參考。 由于現有認可要求與那些在GDPR中提供認證的機構詳細規定的條款重疊，因此合格評定機構可能會被利用來對該新標準進行立即審核和評估。


去哪申報環衛清潔服務企業資質要多少費用
分享ISO14001是什么管理體系?
澳門商標注冊流程及費用
SEDEX/SMETA中、英、法、西班牙、巴西、土耳其官方網站
ISO9000認證工作準備和應對技巧
什么是iso和3c認證，iso和3c認證哪個好?
ISO13485醫療管理體系認證申請方法介紹
2024年第六批國家級專精特新小巨人企業申報八大要求