對(duì)于要求供應(yīng)商處理和維護(hù)PII的客戶來(lái)說(shuō),合同規(guī)定應(yīng)明確要求供應(yīng)商不僅遵守ISO27001標(biāo)準(zhǔn),還要符合ISO27701標(biāo)準(zhǔn),或者在數(shù)據(jù)敏感性較高的情況下獲得ISO27701標(biāo)準(zhǔn)的認(rèn)證。這是因?yàn)镮SO27701是專門針對(duì)個(gè)人信息管理的擴(kuò)展要求,為ISO27001信息安全管理體系(ISMS)提供了額外的指導(dǎo)和要求,以確保個(gè)人信息的隱私得到妥善保護(hù)。
即使客戶沒(méi)有明確要求供應(yīng)商通過(guò)獨(dú)立的第三方認(rèn)證來(lái)符合新標(biāo)準(zhǔn)ISO27701,他們?nèi)匀豢赡芟M潞贤源_保供應(yīng)商能夠遵循這些要求。在這種情況下,合同應(yīng)明確規(guī)定供應(yīng)商有義務(wù)遵守ISO27701標(biāo)準(zhǔn)的相關(guān)要求,并設(shè)定合理的時(shí)間延遲,以便供應(yīng)商能夠在合同中包括這些新標(biāo)準(zhǔn)。
對(duì)于已通過(guò)ISO27001認(rèn)證并希望實(shí)施ISO27701要求的組織,以下是一些建議的步驟:
進(jìn)行差距評(píng)估:對(duì)現(xiàn)有ISMS進(jìn)行符合ISO27701要求的差距評(píng)估,識(shí)別并確定需要改進(jìn)或增加的控制措施,以符合ISO27701的要求。并制定行動(dòng)計(jì)劃來(lái)解決這些差距。
數(shù)據(jù)映射:對(duì)組織收集的PII進(jìn)行數(shù)據(jù)映射,了解PII的收集范圍、使用方式以及與處理器共享的情況。這有助于組織更好地了解其PII的管理情況,并制定相應(yīng)的保護(hù)措施。
確定角色:根據(jù)與組織環(huán)境相關(guān)的內(nèi)部或外部因素(如適用的隱私法規(guī)、法規(guī)、司法決定或合同要求),確定組織作為控制者和/或處理者的角色。這有助于組織明確其在個(gè)人信息處理過(guò)程中的責(zé)任和義務(wù)。
更新隱私策略:查看并更新隱私策略,以確保它們包含ISO27701標(biāo)準(zhǔn)所要求的所有信息。隱私策略應(yīng)清晰、明確地闡述組織如何收集、使用、存儲(chǔ)和保護(hù)個(gè)人信息。
制定政策和程序:制定適用于組織角色的政策和程序,以確保所有員工都了解并遵循ISO27701標(biāo)準(zhǔn)的要求。這些政策和程序應(yīng)涵蓋個(gè)人信息的收集、使用、共享、存儲(chǔ)和銷毀等方面。
實(shí)施隱私保護(hù):通過(guò)設(shè)計(jì)和默認(rèn)原則開始規(guī)劃和實(shí)施隱私保護(hù)。這意味著在設(shè)計(jì)信息系統(tǒng)和流程時(shí),應(yīng)優(yōu)先考慮隱私保護(hù)的要求,并確保默認(rèn)情況下不泄露個(gè)人信息。
總之,要求供應(yīng)商遵循ISO27001和ISO27701標(biāo)準(zhǔn)對(duì)于保護(hù)個(gè)人信息至關(guān)重要。對(duì)于已通過(guò)ISO27001認(rèn)證的組織來(lái)說(shuō),實(shí)施ISO27701要求需要一定的努力和時(shí)間,但通過(guò)遵循上述步驟,可以確保組織能夠逐步符合這一新標(biāo)準(zhǔn)的要求。
