全面解析ISO27701隐私信息管理体系

什么是ISO/IEC27701？


ISO/IEC27701:2019,即隐私信息管理体系（PIMS），是ISO/IEC27001（信息安全管理体系，ISMS）和ISO/IEC27002（信息安全控制实践指南）在隐私信息管理的一个扩展标准。全称《安全技术—扩展ISO/IEC27001和ISO/IEC27002的隐私信息管理—要求与指南》。它是ISO标准委员会以ISO27001为基准，以ISO27552为蓝本，建立发布的隐私信息管理体系标准，为保护个人隐私提供指导。ISO/IEC27701标准的发布，填补了隐私信息管理体系的空白，将隐私保护的原则、理念和方法，融入到信息安全保护体系中，并且对PII控制者和PII处理者进行了较为详细且落地性强的规定，给企业在隐私保护和信息安全方面给出了指导建议。


ISO27701标准的架构如何？


ISO/IEC27701标准第1章到至第4章，给出了标准的范围、引用文件、术语和定义以及总则。标准管理要求分布在第5章至第8章，其中第5章为ISO/IEC27001的要求关于PII相关的扩展，第6章为ISO/IEC27002的要求关于PII相关的扩展，第7章为针对PII控制者角色的管理要求，第8章为针对PII处理者角色的管理要求。附录A-F给出了特定的控制目标与控制措施以及与其他标准和法规的映射关系。ISO/IEC27701是在隐私保护方面对ISO/IEC27001信息安全管理以及ISO/IEC27002安全控制的拓展，通过提供隐私保护指引，明确角色和责任，对于降低企业隐私合规难度，便于企业提供合规证明，增强社会各方信任具有重要意义，具体收益如下:

1.满足合规要求

通过明确对PII处理者生命周期的隐私保护要求，可以明确隐私保护管理合规目标，减轻组织合规负担的降低组织合规风险，支持遵循隐私法规；

2.完善数据安全能力和风险管理

提高组织管理数据安全和隐私风险的能力，通过流程分析，在流程的输入、输出、控制各个环节中，识别、分析、验证隐私保护需求，减少甚至消除隐私泄露的风险；

3.增强对个人信息管理的信任

业务伙伴通常会要求PII处理者提供相关证据，来证明其产品能符合适用的隐私管理体系要求。通过得到授权的第三方机构对PII处理者进行审计验证，可以极大地降低合规沟通成本，有助于向公众传达组织的可信度；

4、在利益相关方之间提供透明度；

5、促进达成有效的业务协议；

6、明确角色和责任；

7、通过与lingxian的信息安全标准ISO/IEC 27001整合，降低复杂性。

ISO/IEC27701适用于哪些企业？


标准设计的目的在于借助更多的要求增强现有ISMS，以建立、实施、维护和持续改进隐私信息管理体系(PIMS)。标准概述了适用于个人身份信息(PII)控制者和PII处理者的框架，以有效管理隐私控制，降低个人隐私权面临的风险。它适用于所有类型和规模的组织，包括公共和私营公司、政府实体以及非盈利组织。


术语解释


PII控制者：确定处理PII的目的和手段隐私利益相关者，但不包括出于个人目的使用数据的自然人。PII处理者：代表并按照 PII控制者的说明处理PII的隐私利益相关者。


组织申请ISO27701有什么前提？


正式外审认证前，组织应已建立满足ISO/IEC27001标准的信息安全管理体系及ISO/IEC27701标准的隐私信息管理体系，且体系运行时间需不少于三个月。（未强制要求企业已经通过ISO27001认证）


获得证书后如何维持证书有效性？


ISO/IEC27701证书的有效期为三年，维持ISO/IEC27701证书的的有效性需接受每年一次的监督审核，每次监督审核之间的时间间隔不超过12个月，自获证后的第三年为再认证审核，换发新的认证证书。


ISO27701和ISO27001的关系


ISO/IEC27701是ISO/IEC27001信息安全管理的隐私扩展，是由其衍生的。由于许多组织已经建立了基于ISO/IEC27001的信息安全管理体系(ISMS)，并以ISO/IEC27002为指导，为保护隐私奠定了基础。ISO/IEC27701通过附加要求来增强现有的信息安全管理体系，以便建立、实施、维护和持续改进隐私信息管理系统(PIMS)。ISO/IEC27701的框架基于ISO/IEC27001，同样遵循了ISO的管理体系标准高层结构HLS，故与其它ISO标准有良好的兼容性，便于组织实施整合的管理体系。作为ISO标准中尾数为01的要求类标准，其有助于构建持续改进的管理框架。