ISO/IEC27701通过对隐私保护的控制对ISO/IEC27001进行补充,有效协助组织对隐私风险进行识别、分析、采取措施,确保符合高级别的隐私保护合规要求,将风险降到可接受水平并维持该水平,最终帮助组织建立完善的隐私信息管理体系,实现有效的隐私管理。
与ISO27001标准类似,ISO/IEC 27701不期望组织机构在所有情况下采纳每一条控制。相反,该标准要求组织机构理解自身PII处理的具体上下文,以适合其处理活动的方式调整特定控制集和与之相关的实现。
保密性:经授权访问PII的个人必须履行保密协议。
分析风险:必须进行隐私风险评估以识别PII处理风险。
监管:组织机构必须指定负责开发、实现、维护和监视其治理及隐私项目的个人。
培训:可以访问PII的人员需经过隐私意识培训。内部过程:组织机构必须为应对PII泄露事件而采纳各种策略和规程,比如事件响应计划。
记录保存:ISO27701要求组织机构保留所有PII处理活动的记录,包括PII在司法辖区间转移和向第三方披露等。
ISO/IEC 27701合规首先要求ISO27001合规。二者互为补充。遵从ISO27701要求的组织机构会留下其PII处理方式的书面证据,可用于推动与商业合作伙伴就PII处理问题签订协议,明确该组织机构与其他利益相关者间的PII处理方式。尽管GDPR尚未确立官方认证方法,近期报告表明,ISO/IEC 27701或可在近期改变这一现状。
