一文讀懂全新隱私信息管理**標準ISO/IEC 27701:2019

時間：2019-08-16作者：通標標準技術服務有限公司瀏覽：107

隨著信息技術的不斷發(fā)展，人們對信息安全的關注日益提升，**多個國家和地區(qū)相繼出臺了一系列隱私保護的法律法規(guī)，例如歐盟的GDPR，中國的網絡安全法，以及中國香港的個人隱私條例等，當前幾乎所有的組織都有處理個人信息 (PII) 的情況。
面對愈加嚴格的監(jiān)管趨勢和眾多且復雜的法律法規(guī), 企業(yè)如何有效的管理和保護用戶個人信息及隱私？
個人隱私安全管理體系**標準
ISO/IEC 27001作為**上公認的信息安全管理體系標準，在隱私保護方面提供了部分所需的信息安全控制措施，但如何從PII控制者和PII處理者二者不同的角度來實現和滿足不同國家和地區(qū)的隱私保護法律法規(guī)的要求，并沒有提供足夠的操作指引。

因此，新標準ISO/IEC 27701隱私信息管理體系應勢而生。助力企業(yè)為GDPR合規(guī)展現、保護用戶隱私和個人信息合規(guī)管理提供了更多相關指南。

新標準能幫助企業(yè)合規(guī)應對GDPR這個史上較嚴的法規(guī)?
新標準科普
2019年8月6日，**標準化組織ISO和**電工**IEC正式對外發(fā)布ISO/IEC 27701隱私信息管理體系標準。

這標志著信息安全、隱私與個人信息保護，在**間法律與法規(guī)的合規(guī)展現有了一致性的標準。

ISO/IEC 27701作為ISO/IEC 27001與ISO/IEC 27002在管理上的延伸標準，其目標是通過新增的要求來增強現有信息安全管理體系（ISMS）,以便建立、實施、維護和不斷改進隱私信息管理體系（PIMS），標準概述了適用于個人身份信息（PII）控制者和PII處理者的框架，用于隱私控制管理，以降低對個人隱私的各種風險。
PS: 歐盟GDPR主責機構，前身為Article 29 Working Party的European Data Protection Board (EDPB)，于ISO/IEC 27701的發(fā)展過程中積極參與，并提供歐盟個人信息保護的相關建議，如ISO/IEC 27701與GDPR的條文對應。包含SC27眾會員國與EDPB，JTC1/SC27在各方達成合意后，公告了ISO/IEC 27701，這也是為什么**間認為ISO/IEC 27701目前為GDPR合規(guī)展現的優(yōu)秀方案之一。

新標準的發(fā)布，對企業(yè)和個人既是挑戰(zhàn)也是機遇
這個新標準有什么條款？
ISO/IEC 27701主要的內容分為8個章節(jié)：
1. **至*三章：
主要是適用范圍、參考標準和名詞定義的說明，ISO/IEC 27701適用于任何類型的組織，包括**、事業(yè)單位、金融、教育機構、企業(yè)及非營利組織。
2. *四章：
標準整體說明，包括PIMS的要求如何應對ISO/IEC 27001的4~10章管理體系，以及PIMS增項的指引如何應對ISO/IEC 27002的5~18章的控制措施。
3. *五章和*六章：
進一步引述在*四章提到的PIMS對應ISO/IEC 27001管理體系要求和ISO/IEC 27002控制措施實施指引。
4. *七章和*八章：
分別從PII控制者和PII處理者的角度，說明包括搜集和處理個人信息的情況和條件、應遵循的個人信息保護原則、設計以及預設的隱私規(guī)定，以及個人信息的分享、傳輸和揭露的增項要求。

在標準的附錄A~F中還補充了PII控制者和PII處理者可參考的控制目標和控制措施，以及對應到 ISO/IEC 29100、GDPR、ISO/IEC 27018、ISO/IEC 29151 的條款編號，并且加上如何應用此標準的說明，對于想要整合多項標準和遵循GDPR的組織而言有著非常好的參考意義。

企業(yè)引入隱私信息管理體系有哪些益處？
?可以使用一個體系來管理來自不同國家和地區(qū)的多項隱私法規(guī)和政策的合規(guī)性；
?有助于組織向組織的較高管理層、合作伙伴、監(jiān)管機構及其他相關方提供組織有關隱私法規(guī)工作的盡職管理證據；
?隱私信息管理體系認證能向客戶和合作伙伴傳遞信任。

ISO/IEC 27701隱私信息管理體系標準作為隱私保護和個人信息管理的ISO**標準。不僅帶來新增的特定隱私要求，以便有效整合現行ISO/IEC 27001信息安全管理體系，未來較是針對隱私保護之特定領域 (PIMS-Specific)，以 ISO/IEC 27001延伸認證的方式實施，信息安全管理將與隱私信息管理進行密切整合。

對于信息安全領域又添新標準，企業(yè)如何選擇符合且利于組織發(fā)展的管理體系？

企業(yè)有效的信息安全管控及個人隱私處理，是為客戶及用戶帶來信任和提升品牌**的方法和策略；如果大家在眾多信息安全體系中難于抉擇，小編已整理了有關個人信息、隱私保護、信息安全等管理體系對比表，方便大家對比選擇。
信息安全標準適用范圍
ISO/IEC 27001:2013	
信息安全管理體系	
作為基礎管理體系的框架，適用于所有類型和規(guī)模的組織。

ISO/IEC 27701:2019
ISO/IEC 27001和ISO/IEC 27002的延伸,用于隱私信息管理	
個人身份信息相關組織和利益相關方要求；個人身份信息相關風險評估；適用于適用于所有類型和規(guī)模的組織，包括公共和私營公司、**機構和非盈利組織，他們是在ISMS中處理PII(個人可識別信息)的控制者或處理者。

ISO/IEC 29151:2017	
個人信息保護的行為準則	
36項ISO/IEC 27002附加控制要求；個人身份信息新增13個控制；適用于所有類型和規(guī)模的作為PII控制者的組織，包括處理PII的公共和私營公司、**機構和非盈利組織。

ISO/IEC 27017:2015	
基于ISO/IEC 27002的云服務信息安全控制實務守則	
37個與云安全相關的ISO/IEC 27002附加控制要求；7個額外的云安全要求；適用于云服務提供商和云服務客戶。

ISO/IEC 27018:2019	
公用云作為保護隱私數據處理者的實務守則	
與云相關的15項ISO/IEC 27002附加控制要求；11個額外的基于云的個人信息要求；適用于所有類型和規(guī)模的組織，這些組織作為PII處理者通過與其他組織簽定的云計算提供信息處理服務；也適用于PII控制者的組織。

以上總結得出，ISO/IEC 27701與ISO/IEC 27001一起使用,*維護兩個管理體系即可形成一個全面的隱私信息管理體系 (PIMS)。因此，ISO/IEC 27701隱私信息管理體系為信息技術行業(yè)其個人隱私信息管理提供了良好的**。

作為**公認的檢驗、鑒定、測試和認證機構，***在IT信息安全領域解決方案范圍廣泛，致力于為各行業(yè)機構提供*管理提升服務，包括：
ISO/IEC 27701、ISO/IEC 29151、ISO/IEC 27001、ISO/IEC 20000、 CSA STAR、ISO/IEC 27017、ISO/IEC 27018、ISO 22301、GDPR等培訓、認證和審核相關服務。


通標標準技術服務有限公司專注于ISO9001,ISO14001,ISO45001等

• 詞條

  詞條說明

• 中國香港發(fā)布的新ESG指引，上市公司將面臨4大挑戰(zhàn)？

  2019年12月18日，中國香港交易所公開刊發(fā)《環(huán)境、社會及管治指引咨詢總結》（《咨詢總結》），公布2019年對在港上市公司的環(huán)境、社會及管治（ESG）的分析結果以及即將生效的新ESG指引的要求。新的披露要求計劃于2020年7月1日或之后開始的財政年度實施。 中國香港交易所新要求 新的《環(huán)境、社會及管治指引》（《ESG指引》）主要8大變化包括： 1、中須載有董事會對ESG事宜的考量的董

• 疫情期間***攜手貝親直播助力企業(yè)提升服務質量

  近日，國內的服務業(yè)受到了新冠肺炎疫情的巨大沖擊，為了助力服務行業(yè)企業(yè)在逆境下突破重圍，**母嬰用品*“貝親”與**公認的檢驗、鑒定、測試和認證機構***攜手舉辦了主題為“如何建立以客戶需求為導向的服務管理體系”的直播課堂，旨在助力企業(yè)練好服務內功，提升服務質量，從而實現轉危為機。 有調查顯示，經過疫情，有87.7%的消費者在服務消費中對健康衛(wèi)生非常看重，有43.6%的消費者選擇“有些服務可以線上

• 國家神經系統(tǒng)疾病臨床醫(yī)學研究中心通過ISO9001:2015**認證

  首都醫(yī)科大學附屬北京天壇醫(yī)院國家神經系統(tǒng)疾病臨床醫(yī)學研究中心（以下簡稱“中心”）正式獲得**公認的檢驗、鑒定、測試及認證機構***頒發(fā)的ISO 9001:2015質量管理體系認證證書。 能夠順利獲得證書，標志著中心臨床研究質控體系建設與管理水平得到了**專業(yè)化認證，為中心規(guī)范運行及高質量研究結果提供了**。北京天壇醫(yī)院常務副院長、中心副主任王擁軍教授，***認證及企業(yè)優(yōu)化部中國區(qū)總監(jiān)辛斌先生等出席

• 一文讀懂全新隱私信息管理**標準ISO/IEC 27701:2019

  隨著信息技術的不斷發(fā)展，人們對信息安全的關注日益提升，**多個國家和地區(qū)相繼出臺了一系列隱私保護的法律法規(guī)，例如歐盟的GDPR，中國的網絡安全法，以及中國香港的個人隱私條例等，當前幾乎所有的組織都有處理個人信息 (PII) 的情況。 面對愈加嚴格的監(jiān)管趨勢和眾多且復雜的法律法規(guī), 企業(yè)如何有效的管理和保護用戶個人信息及隱私？ 個人隱私安全管理體系**標準 ISO/IEC 27001作為**上公認的信息