关于ISO 27701隐私管理体系
发布时间：2022-04-11 10:22:49
如今越来越多企业开始关注ISO27701，是因为隐私问题层出不穷，国家政策、监管方向更加重视隐私保护，企业为了满足合规要求，顺利开展业务，正当合理使用、存储用户个人数据，减少隐私信息外泄的事件发生，开始正规的、系统的开展隐私管理工作，ISO27701逐步进入越来越多企业的视野。那么今天带大家了解一下ISO 27701。


什么是ISO/IEC 27701

ISO/IEC 27701是对ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隐私扩展，全称《安全技术—扩展ISO/IEC 27001和ISO/IEC 27002的隐私信息管理—要求与指南》。它是ISO标准委员会以ISO 27001为基准，以ISO 27552为蓝本，建立发布的隐私信息管理体系标准，为保护个人隐私提供指导。ISO/IEC 27701标准的发布，填补了隐私信息管理体系的空白，将隐私保护的原则、理念和方法，融入到信息安全保护体系中，并且对PII控制者和PII处理者进行了较为详细且落地性强的规定，给企业在隐私保护和信息安全方面给出了指导建议。

ISO/IEC 27701术语解释

PII：个人可识别信息 Personally identifiable information,也译作个人身份信息

PII控制者：确定处理PII的目的和手段隐私利益相关者，但不包括出于个人目的使用数据的自然人

PII处理者：代表并按照 PII 控制者的说明处理PII的隐私利益相关者

PIMS：隐私信息管理体系

Customer：

PII控制者的customer：与PII控制者有合约关系的组织，可以是共同控制者
PII处理者的customer：与PII处理者有合约关系的PII控制者
       新发布的标准适用于PII控制者(及联合控制者)和处理者(包括下级处理者)，无论其运营的行业和司法辖区，也包括到 GDPR和SO/IEC 29100 ISO/IEC 27018及ISO/IEC29151安全框架的映射。预计1SO 27701要求还将映射到其他隐私法律，如《2018加州消费者隐私法室》(CCPA)《金融服务现代化法案》(GLBA)和《健康保险流通与责任法案》(HIPAA)等通过提供通用的合规标准帮助组织机构更好地符合这些监管要求。

为什么要选择ISO/IEC 27701

首先，其适用于所有规模和类型的企业，能够系统的指导企业建立起隐私管理体系，符合其作为数据控制者或处理者处理隐私信息的合规要求;其次通过此认证可以展现出对隐私保护的可信度与承诺，利于用户的选择与支持;最后，ISO27701与国内海外陆续出台的隐私标准相辅相成，提供了与 BS10012，ISO27018、ISO29100这些标准的条款对应关系以及如何应用的说明。且ISO27701是最新发布，目前来看也是比较权威的隐私保护标准，已成为各企业的首选。

其他隐私标准的简单介绍:

BS10012：第一个隐私管理国际标准，是GDPR的一个落地指导。

ISO/IEC 29100:隐私框架

ISO/IEC 29151:是隐私保护的实践指南，未深入研究，查阅资料有反馈较于ISO27701侧重隐私管理，其侧重于隐私技术。

ISO/IEC 27018：又称"云隐保护认证"，针对保护云中个人数据安全的行为准则。

ISO/IEC 27701应用的背景

数据滥用、数据窃取、隐私泄露以及”大数据杀熟”等数据安全问题呈现爆发趋势。在此背景下，全球各个国家纷纷颁布相关法律法规，对数据安全与隐私保护相关问题进行严格的规范与引导。2018年欧盟GDPR《General Data Protection Requlation》生效，2021年，欧盟在GDPR中采信由监管机构认可或国家认可机构认可的第三方认证机构颁发的认证证书。2017年6月1日，《中华人民共和国网络安全法》(通常简称《网安法》)颁布实施，2021年11月1日，我国的《个人信息保护法》生效。为规范组织内部个人隐私信息安全管理，满足各国相关隐私保护法律法规的要求，ISO/IEC27701认证需求越来越明显。

谁可以做ISO/IEC 27701

标准设计的目的在于借助更多的要求增强现有ISMS，以建立、实施、维护和持续改进隐私信息管理体系(PIMS)。标准概述了适用于个人身份信息(PII)控制者和PII处理者的框架，以有效管理隐私控制，降低个人隐私权面临的风险。自活用干所有一型和规模的组织，包括公共和私营公司、政府实体以及非盈利组织。

如何快速认证通过

前提条件

组织应已建立同时满足ISO/IEC27001标准的信息安全管理体系及ISO/IEC 27701标准的隐私信息管理体系，且体系运行时间需不少于三个月。（未强制要求企业已经通过ISO27001认证）

参与部门

实施ISO/IEC 27701至少需要组织业务部门、技术研发部门、客户服务部门、信息安全部门和法务部门

实施周期

正常从项目开始启动，通过差距分析，辅以培训，建立隐私信息安全保护体系并推广实施，经第三方机构认证审核，整个周期在6-8周

所需材料

包括但不限于：

公司基础资料  现有业务流程

隐私安全管理制度  隐私保护风评材料

隐私适用性声明......

ISO/IEC 27701认证收益

ISO/IEC27701是在隐私保护方面对ISO/IEC27001信息安全管理以及ISO/IEC27002安全控制的进一步拓展，通过提供隐私保护指引，明确角色和责任，对于降低企业隐私合规难度，便于企业提供合规证明，增强社会各方信任具有重要意义，具体收益如下:

1、满足合规要求

通过明确对PII处理者生命周期的隐私保护要求，可以明确隐私保护管理合规目标，减轻组织合规负担的同时降低组织合规风险,ISO27701标准附录D中明确表示，单个隐私控制点可以满足GDPR中的多项要求。满足了ISO27701标准也就意味着基本满足GDPR的要求，而GDPR是众多隐私保护法规中最为严格的，也就意味着满足了即将颁布的《隐私保护法》的系列要求。

2、 完善数据安全能力和风险管理 

提高组织管理数据安全和隐私风险的能力，实现持续完善产品的非功能性要求，进而展示出产品在处理个人隐私安全、安全治理的绩效，通过流程分析，通过流程分析，在流程的输入、输出、控制各个环节中，识别、分析、验证隐私保护需求，减少甚至消除隐私泄露的风险

3、增强对个人信息管理的信任

业务伙伴通常会要求PII处理者提供相关证据，来证明其产品能符合适用的隐私管理体系要求。通过得到授权的第三方机构对PII处理者进行审计验证，可以极大地降低合规沟通成本，这种合规透明度的提高对于组织战略和业务决策至关重要，同时PIMS认证也有助于向公众传达组织的可信度