服務(wù)熱線(xiàn):
02889896768
18683789888
items
服務(wù)項目
Contact Us
聯(lián)系我們
地址:成都市雙流區大件路白家段280號7-1-1006
服務(wù)熱線(xiàn): 18683789888
                  028-89896768 


你現在的位置:網(wǎng)站首頁(yè) > 服務(wù)項目 > IT類(lèi)認證咨詢(xún) > IT類(lèi)認證咨詢(xún)
隱私信息管理體系認證咨詢(xún)
更新時(shí)間:2020-08-11 14:48:26
2019 年 8 月 6 日,國際標準化組織 (ISO) 和國際電工委員會(huì ) (IEC) 發(fā)布了 ISO/IEC 27701 (ISO 27701)——ISO/IEC 27001 和...
2019 年 8 月 6 日,國際標準化組織 (ISO) 和國際電工委員會(huì ) (IEC) 發(fā)布了 ISO/IEC 27701 (ISO 27701)——ISO/IEC 27001 和 ISO/IEC 27002 的隱私擴展,旨在幫助組織機構保護和控制所處理的個(gè)人信息。與現有 ISO 標準 ISO 27701 補充類(lèi)似,該新 ISO 標準可能成為組織機構保護個(gè)人可識別信息 (PII) 的事實(shí)標準,且可能用于證明包括《通用數據保護條例》(EU) 2016/679 (GDPR) 在內的全球隱私合規。
對安全合規而言,該新標準相當于錦上添花。******的 ISO 27001 筑基,新 ISO 27701 則建立在此基礎上,提供全面的信息安全控制和個(gè)人信息保護。
ISO 27701是什么?
ISO 27701 源自 ISO/IEC 27552,為建立、實(shí)現、維護和持續改進(jìn)隱私信息管理系統 (PIMS) 提供具體要求和指南,令 PIMS 作為 ISO 27001 中定義的靈活信息安全管理系統 (ISMS) 的擴展,在信息安全的基礎上將處理 PII 所需的隱私保護納入考慮。與 ISO 27001 標準類(lèi)似, ISO 27701 不期望組織機構在所有情況下采納每一條控制。相反,該標準要求組織機構理解自身 PII 處理的具體上下文,以適合其處理活動(dòng)的方式調整特定控制集和與之相關(guān)的實(shí)現。
為更好地理解新標準,需要弄清兩個(gè)關(guān)鍵術(shù)語(yǔ):控制者和處理者。這兩個(gè)術(shù)語(yǔ)在很多隱私法律和規定中都能見(jiàn)到,包括 GDPR。通常,“控制者” 是指示為什么要收集和處理 PII 的實(shí)體,“處理者” 是代表該控制者負責處理此數據的另一個(gè)法律實(shí)體(非員工)。
新發(fā)布的標準適用于 PII 控制者(及聯(lián)合控制者)和處理者(包括下級處理者),無(wú)論其運營(yíng)的行業(yè)和司法轄區,也包括到 GDPR 和 SO/IEC 29100、ISO/IEC 27018 及 ISO/IEC 29151 安全框架的映射。預計 ISO 27701 要求還將映射到其他隱私法律,如《2018 加州消費者隱私法案》(CCPA)、《金融服務(wù)現代化法案》(GLBA) 和《健康保險流通與責任法案》(HIPAA) 等,通過(guò)提供通用的合規標準幫助組織機構更好地符合這些監管要求。
下面我們******來(lái)看看適用于控制者和處理者的關(guān)鍵 ISO 27701 要求。
適用于控制者和處理者的要求
保密性:經(jīng)授權訪(fǎng)問(wèn) PII 的個(gè)人必須履行保密協(xié)議。
分析風(fēng)險:必須進(jìn)行隱私風(fēng)險評估以識別 PII 處理風(fēng)險。
監管:組織機構必須指定負責開(kāi)發(fā)、實(shí)現、維護和監視其治理及隱私項目的個(gè)人。
培訓:可以訪(fǎng)問(wèn) PII 的人員需經(jīng)過(guò)隱私意識培訓。
內部過(guò)程:組織機構必須為應對 PII 泄露事件而采納各種策略和規程,比如事件響應計劃。
記錄保存:ISO 27701 要求組織機構保留所有 PII 處理活動(dòng)的記錄,包括 PII 在司法轄區間轉移和向第三方披露等。
特定于控制者的要求
隱私通告:組織機構必須提供包含 PII 收集、使用和處理相關(guān)具體信息的隱私政策。
處理者合同要求:組織機構必須與其處理者簽訂書(shū)面合同,約定具體事項,比如保護 PII、限制處理操作僅可在 PII 特定用途范圍內,以及提供 PII 泄露通報。
個(gè)人權益:ISO 27701 要求組織機構實(shí)現各種機制,賦予個(gè)人訪(fǎng)問(wèn)、修改和刪除其 PII,以及反對或限制 PII 處理等權益。
設計隱私與默認隱私:組織機構必須采取措施實(shí)現設計隱私和默認隱私原則。
特定于處理者的要求
處理限制:組織機構必須僅按控制者或處理者(取決于客戶(hù)的角色)的說(shuō)明處理 PII。
輔助個(gè)人權益:ISO 27701 要求處理者實(shí)現幫助客戶(hù)遵從個(gè)人權益的種種措施。
轉移與披露:處理者必須于 PII 在司法轄區間轉移或任何預期變化發(fā)生前通告客戶(hù)。
分包商:ISO 27701 要求處理者僅可雇傭一家分包商按照客戶(hù)合同的條款處理 PII。
ISO 27701的好處
ISO 27701 合規首先要求 ISO 27001 合規。二者互為補充。遵從 ISO 27701 要求的組織機構會(huì )留下其 PII 處理方式的書(shū)面證據,可用于推動(dòng)與商業(yè)合作伙伴*** PII 處理問(wèn)題簽訂協(xié)議,明確該組織機構與其他利益相關(guān)者間的 PII 處理方式。盡管 GDPR 尚未確立官方認證方法,近期報告表明,ISO 27701 或可在近期改變這一現狀。
該做什么?
客戶(hù)若想雇傭供應商代表自己處理和維護 PII,應考慮以合同的形式要求這些供應商不僅遵從 ISO 27001,還要遵從 ISO 27701,或者在數據敏感度適用的情況下取得符合該標準的認證。即使客戶(hù)不要求供應商經(jīng)過(guò)獨立第三方的新標準合規認證,可能也想要更新合同,確保供應商能夠符合 ISO 27701 的要求。鑒于 ISO 27701 才剛發(fā)布,合同中也可寫(xiě)入供應商符合新標準要求的合理時(shí)延。
已經(jīng)通過(guò) ISO 27001 認證,希望實(shí)現 ISO 27701 要求的組織機構,可以考慮采取下列步驟:
1. 按照 ISO 27701 的要求對現有 ISMS 執行漏洞評估,生成如何解決這些漏洞的行動(dòng)計劃。
2. 對組織機構收集的 PII 執行數據映射,了解所收集 PII 的范圍,弄清處理者共享和使用 PII 的方式。
3. 依據上下文相關(guān)的內部或外部因素,比如適用的隱私立法、規定、司法判決或合同要求等,確定組織機構作為控制者和/或處理者的角色。
4. 審核并更新隱私政策,確保含有所要求的信息。
5. 制定適用于該組織機構角色的策略和規程。
6. 開(kāi)始規劃和實(shí)現設計隱私與默認隱私原則。

Copyright © 2020 m.kkfi.cn, All Rights Reserved
四川千博企業(yè)管理有限公司©版權所有   備案號:蜀ICP備20009586號-1
本色道无码道DVD_国产欧美精品一区AⅤ影院_亚洲中文av一区二区三区_欧美大肚子孕妇疯狂作爱视频