ISO27701的介绍与研究价值
2019年8月6日,国际标准化组织(the International Organization for Standardization,“ISO”)和国际电工委员会(the International Electrotechnical Commission,“IEC”)发布Security techniques-Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management-Requirements and guidelines,即《安全技术-ISO/IEC 27001与ISO/IEC 27002隐私信息管理的扩展-要求与指南》,在ISO标准族系中的标号是ISO/IEC 27701:2019,因此简称为ISO 27701,中文一般称为《隐私信息管理体系》。ISO 27701在27001 ISMS体系基础上,扩展了对隐私和个人信息保护的要求,成为了第一部全球通用的数据保护标准。它对建立、实施、维护和改进隐私信息管理体系做出规定,从PII(Personal Identification Information,以下简称PII)控制者和处理者等不同维度给出了控制目标和控制措施,为各类组织提供了国际通用的隐私信息管理框架和隐私合规最佳实践。
因其提供了通用性,ISO 27701并不对标特定的法律法规要求,而是定义了能够支撑实现这些要求的体系及运行机制。以数据泄露事件响应为例,GDPR中规定了报告的义务,包括时限、内容和对象等要求。27701在其6.13.1中规定了如何管理这类事件,包括了责任与规程、汇报、评估和决策、复盘学习、证据收集等,但没有就报告时限做出明确规定,而是把这个作为体系环境评估时的输入由组织自行确定,从而提供了更广泛的通用性。
目前,美国和英国等国家认可机构已颁发对ISO/IEC 27701认证机构的认可。中国2020年也启动了对ISO/IEC 27701标准的国标转化筹备工作。因为国际环境的影响,目前选择认证的组织多数是亚太地区的企业,尤其以国内居多,如华为终端云服务、阿里云、爱奇艺等均在近期完成了ISO 27701认证。
因此进行ISO 27701的对标研究,有助于加深相关企业对于该标准的理解、推进差距分析,最终提升数据保护水平并通过认证。
