ISO/IEC 27701由負(fù)責(zé)“身份管理和隱私技術(shù)”的ISO/IEC工作組起草,并由BSI提名的項(xiàng)目編輯(Project Editor)領(lǐng)導(dǎo)開發(fā)。BSI是英國政府任命的國家標(biāo)準(zhǔn)機(jī)構(gòu),在ISO和IEC中代表英國的利益。
標(biāo)準(zhǔn)的正式發(fā)布,目的在于使組織能夠獲得針對ISO/IEC 27701的認(rèn)證,以此作為ISO/IEC 27001管理體系的擴(kuò)展。換言之,計(jì)劃尋求通過ISO/IEC 27701認(rèn)證的組織還將需要通過ISO/IEC 27001認(rèn)證,彰顯組織對信息安全和隱私管理的承諾。
通過PMS的擴(kuò)展以及與隱私相關(guān)的控制來增強(qiáng)現(xiàn)有的信息安全管理體系(SMS),簡化復(fù)雜重疊隱私法的管理,創(chuàng)建一個(gè)以證據(jù)為基礎(chǔ)的隱私計(jì)劃,并通過公認(rèn)的認(rèn)證形式表明該計(jì)劃的合規(guī)性,并作為潛在的GDPR合規(guī)性的基礎(chǔ)。
ISO/IEC 27701提供與ISO27001相關(guān)的隱私管理要求
ISO/IEC 27701提供對PII控制者和處理者的額外的ISO 27002指導(dǎo)內(nèi)容
ISO/IEC 27701提供對PII控制者與處理者的控制目標(biāo)和控制措施
ISO/IEC 27701提供與ISO29100、GDPR、ISO27018及ISO29151的對應(yīng)關(guān)系
以及如何將ISO/IEC 27701應(yīng)用到ISO27001和ISO27002
a)ISO 27701是ISO 27001和ISO 27002在隱私方面的擴(kuò)展。
b)ISO 27002為ISO 27001提供風(fēng)險(xiǎn)處置具體的控制目標(biāo)和控制措施。
c)ISO 29100、ISO 27018、ISO 29151均為隱私方面的標(biāo)準(zhǔn),有不同的側(cè)重點(diǎn),與ISO 27701互為補(bǔ)充。
d)ISO 27001幫助企業(yè)建立ISMS,通過有效的風(fēng)險(xiǎn)管理來保護(hù)和管理組織的所有信息,從數(shù)據(jù)安全方面滿足GDPR的部分要求。
e)ISO 27701加入了隱私保護(hù)的額外要求,更全面地覆蓋了GDPR的要求。
ISO 27701認(rèn)證標(biāo)準(zhǔn)還實(shí)現(xiàn)了其他一些目的。一方面,它充當(dāng)PIMS與ISMS或ISO 27001之間關(guān)系和連接的概述。它還詳述了所需的功能,并列出了PIMS數(shù)據(jù)處理器和控制器的隱私控制。在更大范圍內(nèi),ISO 27701認(rèn)證將信息隱私要求映射到相關(guān)的ISO標(biāo)準(zhǔn)和GDPR。
