ISO/IEC 27701对ISO/IEC 27001做了哪些隐私方面的补充?
ISO/IEC 27701 是在 ISO/IEC 27001 信息安全管理体系(ISMS)的基础上扩展和补充的一项标准,专注于隐私信息的保护(Privacy Information Management System,简称 PIMS)。它对 ISO/IEC 27001 在隐私保护方面进行了以下几个关键补充和扩展:
1. 增加了对“个人信息”的保护要求
ISO/IEC 27001 主要关注信息资产的 保密性、完整性和可用性,但没有针对个人信息的特殊要求。而 ISO/IEC 27701 明确地引入了“个人信息”(Personally Identifiable Information, PII)的保护机制。
定义个人信息:针对处理个人信息的组织,明确了其需要采取特殊措施来保护数据主体的隐私权。
扩展目标:除了传统的信息安全目标外,增加了对隐私和个人数据保护的关注点,确保组织的管理体系符合隐私法律法规(如 GDPR)。
2. 明确“数据控制者”和“数据处理者”的责任
ISO/IEC 27701 引入了 隐私管理角色,帮助组织明确在个人信息处理中的责任:
数据控制者(Data Controller):
负责确定个人数据的处理目的和方式。
需确保其隐私政策、数据处理方式符合相关隐私法律要求。
数据处理者(Data Processor):
负责根据控制者的指示处理个人数据。
需提供充分的技术和组织措施来保护个人数据。
这些角色的划分与欧盟《通用数据保护条例》(GDPR)等法规一致,便于组织满足法律要求。
3. 隐私风险评估
在 ISO/IEC 27001 的基础上,27701 扩展了风险评估的内容,增加了对隐私风险的关注:
评估个人数据在采集、存储、传输和处理过程中的风险。
确定隐私风险的严重程度,制定适当的控制措施。
考虑隐私风险对 数据主体(Data Subject) 的潜在影响,例如隐私泄露对个人权益的影响。
4. 扩展控制措施
ISO/IEC 27701 补充了多个控制措施,特别是在以下隐私保护领域:
隐私政策:
要求组织制定明确的隐私政策,向数据主体披露个人数据的处理目的、合法性以及保护措施。
数据主体权利:
支持数据主体行使隐私权,例如访问权、删除权、数据可移植性权等(与 GDPR 等隐私法规一致)。
个人数据的生命周期管理:
明确从个人数据的收集、存储、处理、传输到销毁的全生命周期管理要求。
要求对个人数据的使用进行限制,确保数据仅用于明确的合法目的。
隐私影响评估(PIA):
建议组织对高风险数据处理活动进行隐私影响评估,以识别潜在隐私风险并采取控制措施。
供应链隐私管理:
在涉及第三方(如供应商、外包商)处理个人数据时,要求明确合同条款,确保第三方遵守隐私保护要求。
5. 合规性和全球隐私法规的支持
ISO/IEC 27701 的设计与全球隐私法规高度兼容,尤其是 GDPR(欧盟《通用数据保护条例》) 和 CCPA(加州消费者隐私法),提供了以下支持:
法律依据:
确保个人数据处理具有合法性依据(如同意、合同必要性、合法利益等)。
跨境数据传输:
提供关于跨境传输个人数据的指导,确保满足相关法律要求(如 GDPR 第五章的跨境数据流动规定)。
6. 增强隐私培训和意识
ISO/IEC 27701 特别强调对员工隐私意识和技能的培训:
要求对员工进行与隐私相关的专项培训。
确保数据处理人员了解隐私保护的要求,避免因人为失误导致隐私泄露。
7. 隐私事件的管理
在 ISO/IEC 27001 的信息安全事件管理的基础上,ISO/IEC 27701 进一步扩展到隐私事件:
要求组织建立隐私事件的报告、记录和应急响应机制。
强调在隐私事件发生后及时通知受影响的 数据主体 和 监管机构(例如 GDPR 第33条和第34条)。
8. 审计和监控
ISO/IEC 27701 要求组织定期对隐私管理体系进行监控和审计,确保其符合以下要求:
组织的隐私政策是否被正确实施。
数据处理是否符合相关法律法规。
是否有效管理隐私风险。
总结:ISO/IEC 27701 的主要隐私保护扩展
| 领域 | ISO/IEC 27001(原有内容) | ISO/IEC 27701(隐私扩展) |
|---|---|---|
| 目标 | 信息的保密性、完整性和可用性 | 隐私保护和个人数据管理 |
| 风险评估 | 信息安全风险 | 增加隐私风险评估,如数据泄露和合法性评估 |
| 控制措施 | 通用信息安全控制 | 增加隐私政策、数据主体权利、数据生命周期管理等 |
| 法律合规性 | 通用安全合规要求 | 补充隐私法规合规性要求,如 GDPR、CCPA |
| 角色定义 | 信息资产管理责任 | 数据控制者和处理者的角色划分与责任 |
| 事件管理 | 信息安全事件管理 | 增加隐私事件管理和通知机制 |
ISO/IEC 27701 是 ISO/IEC 27001 的自然延伸,它将信息安全与隐私保护紧密结合,帮助组织不仅能管理信息安全,还能应对全球隐私法规的挑战。
