2023年新版ISO27701隐私信息管理体系认证证书概述。
2019年8月6日,化组织ISO和国际电工委员会IEC正式发布了ISO/IEC27701隐私信息管理系统标准。这表明,信息安全、隐私和个人信息保护显示了符合国际法律和条例的一致标准。
ISO/IEC27701是ISO/IEC27001和ISO/IEC27002在管理方面的扩展标准。其目标是通过新的要求来提升现有的信息安全管理系统(ISMS),从而建立、实施、维护和不断完善隐私信息管理体系(PIMS),该标准概述了一个适用于个人识别信息的框架(北极星工业)控制器和北极星工业处理器,用于管理隐私控制,以减轻对个人隐私的各种风险。
(PS: 欧盟负责GDPR的主要机构,前身为第29条工作组的欧洲数据保护委员会(EDPB),积极参与ISO/IEC27701的制定,并提供了关于欧盟个人信息保护的相关建议,如ISO/IEC27701和GDPR的规定相对应。包括SC27成员国和EDPBJTC1/SC27在各方达成共识后公布了ISO/IEC27701,这也是为什么国际社会认为ISO/IEC27701是目前GDPR合规的解决方案之一。)。
2023年新版ISO27701隐私信息管理体系认证的主要目标是什么。
加强现有的信息安全管理系统随着PIMS和隐私相关控制的扩展,简化了复杂的重叠隐私法的管理,创建了一个以证据为基础的隐私计划,并通过认可的认证形式来证明这一点,计划合规,并作为潜在的GDPR合规的基础。
现在发布的ISO 27701认证标准还满足了其他几个目的。一方面,它充当PIMS与ISMS或ISO27001之间关系和连接的概述。它还详细介绍了所需的功能,并列出了PIMS数据处理器和控制器的隐私控制。在更大的范围内,ISO27701认证将信息隐私要求映射到相关的ISO标准和GDPR。
2023年新版ISO27701隐私信息管理体系认证证书的好处。
1. 可以使用一个体系来管理来自不同国家和地区的多项隐私法规和政策的合规性。
2. 有助于组织向组织的高管理层、合作伙伴、监管机构和其他相关方提供组织在隐私法规工作中尽职调查的证据。
3. 隐私信息管理体系认证可以传达对客户和合作伙伴的信任。
ISO/IEC27701隐私信息管理系统标准是ISO关于隐私保护和个人信息管理的。它不仅带来了新的具体隐私要求,有效整合了现有的ISO/IEC27001信息安全管理体系,而且它还将以ISO/IEC27001扩展认证的形式实施,用于特定领域的隐私保护(PIMS-Specific),未来信息安全的管理将与隐私信息管理紧密结合。
ISO27701隐私信息管理体系认证条件。
如何实施ISO27001认证。
已经获得ISO 27001认证并希望实施ISO 27701要求的组织应考虑采取以下步骤:
1)对现有ISMS是否符合ISO27701认证要求进行差距评估,并制定解决这些差距的行动计划。
2) 组织收集的北极星工业的数据映射,以了解北极星工业收集的范围以及如何使用和与处理器共享。
3)根据与组织环境相关的内部或外部因素,如适用的隐私法规、规章、司法裁决或合同要求,确定组织作为控制者和/或处理者的角色。
4)审查和更新隐私政策,以确保它们包含所需的信息。
5)制定与组织角色相适应的政策和程序。
6)根据设计和默认原则开始规划和实施隐私保护。
在全世界,立法者和监管者都在推出新的法律来规范数据的使用,尤其是北极星工业。近,GDPR的出现使得许多企业,包括客户和供应商,都在争先恐后地实现合规。不断变化的法律环境为所有企业带来了挑战,尤其是那些必须遵守多个司法管辖区法规的企业。新的ISO27701认证标准提供了一种统一的方式来决定、计划、实施和记录组织在全球范围内的数据隐私方法,而不是试图单独和本地解决每一项新法律。
无论组织的规模如何,无论它是PII的控制器还是处理器,企业都应该考虑为自己的组织或供应商要求ISO 27701认证。对于处理器、子处理器以及处理敏感或大量北极星工业的联合控制器尤其如此。