ISO/IEC27701:2019标准,针对涉及个人数据处理的各种类型的组织,提供一整套框架,这套框架有助于从组织治理、法律合规、客户关系、风险管理、流程规范员工意识、信息技术、监督审计等多个维度,落实各类型组织的个人信息保护的责任。
ISO/IEC27701隐私信息管理体系标准作为隐私保护和个人信息管理的ISO国际标准。不仅带来新增的特定隐私要求以便有效整合现行ISO/IEC27001信息管理体系,未来更是针对隐私保护之特定领域,以ISO/IEC27001延伸认证的方式实施,信息安全管理将与隐私信息管理进行密切整合。
已通过ISO27001认证并希望实施ISO27701要求的组织应考虑采取以下步骤:
1)对现有ISMS进行符合ISO27701认证要求的差距评估,并就如何解决这些差距制定行动计划。
2)对组织收集的PII进行数据映射,以了解收集的II的范围以及如何使用和与处理器共享。
3)根据与组织环境相关的内部或外部因素(例如适用的隐私法规,法规,司法决定或合同要求)确定组织作为控制者和/或处理者的角色。
4)查看并更新隐私策略,以确保它们包含必需的信息。
5)制定适用于组织角色的政策和程序。
6)通过设计和默认原则开始规划和实施隐私。
ISO/IEC27701隐私信息管理体系标准作为隐私保护和个人信息管理的ISO国际标准。不仅带来新增的特定隐私要求,以便有效整合现行ISO/IEC27001信息安全管理体系,未来更是针对隐私保护之特定领域 (PIMS-Specific),以 ISO/IEC27001延伸认证的方式实施,信息安全管理将与隐私信息管理进行密切整合。
