logo资料库

ISO27701对边ISO27001.docx

发布时间:2022-06-06 发布人:admin 分类:说明书 资料大小:0.37M 资料格式:docx 举报 版权申诉
第1页 / 共13页
第2页 / 共13页
第3页 / 共13页
第4页 / 共13页
第5页 / 共13页
第6页 / 共13页
第7页 / 共13页
第8页 / 共13页
资料共13页,剩余部分请下载后查看
    全球首个隐私体系标准ISO/IEC 27701解读
    一、 隐私保护的重要性被不断强调,ISO/IEC 27701标准也随之出台
    二、ISO/IEC 27701标准介绍
    三、ISO/IEC 27701标准重点解读
    四、ISO/IEC 27701的实践指导意义
    全球首个隐私体系标准 ISO/IEC 27701 解读 ISO/IEC 27701 标准的发布,填补了目前隐私信息管理体系的空白,将隐私保护的原则、理 念和方法,融入到信息安全保护体系中,并且对 PII 控制者和 PII 处理者进行了较为详细且 落地性强的规定,给企业在隐私保护和信息安全方面给出了指导建议。 大数据时代的到来,为我们带来了空前的便利,随着大数据在各个领域的渗透逐 渐加深,个人隐私泄露的风险也愈加严重。 -“先生您好,最近贷款需要吗? -“您好,我们这里有一个新开的楼盘…” -“请问您家小孩需要辅导班吗?” -… 骚扰电话和推广短信已然成为智能手机的标配。我们的手机号码,又是被谁、怎 样泄露出去的呢? 近几年互联网应用层出不穷,大数据、云计算快速发展,人们在网络上留下的个 人印记越来越多。通过对人们留在互联网上的痕迹进行采集、挖掘、提炼与分析 之后,每个人的精准画像都被毫无保留地完整暴露在了网络世界中。 一、 隐私保护的重要性被不断强调,ISO/IEC 27701 标准也随之出台 威胁重重,数据滥用、数据窃取、隐私泄露以及“大数据杀熟”等数据安全问题呈 现爆发趋势。 在此背景下,全球各个国家纷纷颁布相关法律法规,对数据安全与隐私保护相关 问题进行严格的规范与引导。 如欧盟保护个人数据的《General Data Protection Regulation》 (GDPR);美国 的 《California Consumer Privacy Act》(CCPA)等。
    1. GDPR 欧盟于 2018 年 5 月 25 日正式实施了《通用数据保护条例》 (《General Data Protection Regulation》,简称《GDPR》),是一项保护欧盟公民个人隐私和数据 的法律,其适用范围包括欧盟成员国境内企业的个人数据、也包括欧盟境外企业 处理欧盟公民的个人数据。 2. CCPA 美国已有多个州先在数据安全与隐私保护进行了立法,其中最著名的要数 2018 年 6 月加州通过《加州消费者隐私法案》( 《California Consumer Privacy Ac t》, 简称《CCPA》)。该法案被称为美国“最严厉和最全面的个人隐私保护法案”, 将于 2020 年 1 月 1 日生效。 3. 网络安全法 我国于 2017 年 6 月 1 日正式实施《中华人民共和国网络安全法》(通常简称《网 安法》)。《网安法》是我国首部全面规范网络空间安全管理方面问题的基础性 法律,包含的内容十分丰富,一共包括 7 章 79 条,包含网络运行安全、关键信
    息基础设施的运行安全、网络信息安全等内容。值得关注的是,《网安法》在数 据(包括个人信息)安全与保护上也有诸多规定,例如第四十至四十五条。 同时,ISO 标准委员会也以 ISO 27001 为基准,以 ISO 27552 为蓝本,建立了 ISO 27701 标准。 二、ISO/IEC 27701 标准介绍 1. 关键术语解释:  PII:个人可识别身份信息,指 a) 任何可以识别 PII 主体的信息或 b) 直 接或间接与 PII 主体相关的信息  PIMS:Privacy Information Management System,隐私信息管理体系  Customer: o PII 控制者的 customer:与 PII 控制者有合约关系的组织,可以是 共同控制者 o PII 处理者的 customer:与 PII 处理者有合约关系的 PII 控制者 o 与 PII 处理的分包商有合约关系的 PII 处理者 2. ISO 27701 结构组成 ISO 27701 是 ISO 27001 和 ISO 27002 在隐私方面的扩展,并为隐私保护提供 了除 ISO 27001 和 ISO 27002 之外的额外的指导。全文共分为 8 个章节及 6 个 附录,主要的要求和指导内容集中在第 5-8 章。 其中第 5 章介绍了 ISO 27001 中延伸出的关于 PIMS 的扩展要求以及本标准对 P IMS 的附加要求,第 6 章则介绍了 ISO 27002 中对 PIMS 的扩展及附加要求,这
    两章的内容对 PII 控制者和处理者均适用,行文结构和控制域与原标准一致,包 含 ISO 27002 共 14 个控制域、114 个控制项。 第 7 章为专门针对 PII 控制者的额外指导内容,共 31 个控制项,第 8 章则为针 对 PII 处理者的额外指导内容,共 18 个控制项,这两章均从 PII 的收集和处理, 对 PII 主体的义务,Privacy by design & Privacy by default,PII 的共享、传输 和披露四个方面作出相应规定。 总体而言,本标准通过第 5 章和第 6 章将 ISO 27002 与附加的 PIMS 控制项通过 ISO 27001 中 PDCA 的方式导入体系,形成完整的信息安全和隐私管理体系。此 外,第 7 章和第 8 章从数据生命周期的角度新增分别针对 PII 控制者和处理者的 控制要求。同时,附录中还将本标准与 GDPR、ISO 29100、ISO 27018 及 ISO 29151 进行了映射。
    3. ISO 27701 与各标准之间的关系
    a) b) c) ISO 27701 是 ISO 27001 和 ISO 27002 在隐私方面的扩展。 ISO 27002 为 ISO 27001 提供风险处置具体的控制目标和控制措施。 ISO 29100、ISO 27018、ISO 29151 均为隐私方面的标准,有不同的侧 重点,与 ISO 27701 互为补充。 d) ISO 27001 帮助企业建立 ISMS,通过有效的风险管理来保护和管理组织 的所有信息,从数据安全方面满足 GDPR 的部分要求。 e) ISO 27701 加入了隐私保护的额外要求,更全面地覆盖了 GDPR 的要求。 4. ISO 27701 VS ISO 27001 & 27002 本标准基于 ISO 27001 和 ISO 27002,在应用本标准时,应将原 ISO 27001 及 ISO 27002 中的“信息安全”替换为“信息安全和隐私”。本标准中仅列出替换后仍 需说明的额外 PIMS 相关要求。
    ISO 27002 中共 14 个控制域,每个控制项中包含控制措施、实施指南和其他信 息。将所有“信息安全”替换为“信息安全和隐私”后,除了“业务连续性管理的信息 安全方面”的控制域,ISO 27701 对 ISO 27002 中控制域中的实施指南和其他信 息均有额外的补充,但控制措施均延续 ISO 27002 的控制措施(仅将“信息安全” 替换为“信息安全和隐私”) 5. ISO 27701 VS GDPR ISO 27701 的认证能在极大程度上表明组织符合 GDPR 的要求。根据附录 D I SO 27701 与 GDPR 适用条款(Article 4-42, 44-49)之间的映射关系,通过对比 GDPR 的原条款,发现 ISO 27701 覆盖了绝大部分 GDPR 的要求,仅个别 GDPR 的条款未被 ISO 27701 覆盖,条款涉及的主要内容如下:
    Article 14 个人数据还未从数据主体处获得时(数据控制者)应提供的信息 (5) (a):数据控制者应当向数据主体提供所规定提供给数据主体的信息,除非数据 主体已获知相关信息 Article 23 限制:欧盟或成员国法律可以通过立法手段限制本法第 12 条至第 2 2 条和第 34 条规定的权利义务范围 Article 35 数据保护影响评估 (6):此段针对监管机构,规定了在给出数据保护 影响评估相关清单时需应用一致性机制的场景 Article 36 事先咨询 (4):数据保护影响评估表明在数据控制者缺乏减轻风险的 措施会导致高风险时,数据控制者应当在处理前向监管机构咨询 尽管根据 ISO 27701 和 GDPR 的映射来看,GDPR 的内容基本均在 ISO 27701 中有所体现,但仍不能认为 ISO 27701 可以作为表明完全符合 GDPR 的全球性 认证。主要是由于通用性的国际标准无法完全符合某个国家或地区具体的法律法 规。由于 ISO 27701 为国际通用地标准,某些要求仅通用性地指出应遵守某些 适用地法律法规,未包含具体地规定,而 GDPR 则明确指出具体地要求 例 1:对于儿童个人数据收集方面的规定
    分享到:
    收藏

    相关推荐

    资料库

    安全技术

    共收录1285份资料,累计4个分类,关注成员有19位,主要包括:网络攻防,系统安全,其它,网络安全

    热门标签

    网络攻防 系统安全 其它 网络安全

    最新资料