ISO/IEC 27701认证最初开发为ISO/IEC 27552,它为建立,实施,维护和持续改进隐私信息安全管理体系(PIMS)提供了特定要求和指导,作为对ISO27001中定义的灵活信息安全管理体系(ISMS)的扩展。除了信息安全之外,还应考虑到处理PII所需的隐私保护。像ISO27001认证标准一样,ISO27701认证并不希望组织在所有情况下都采用每种控件。相反,它要求组织了解处理PII的特定上下文,并以适合其处理活动的方式调整特定的控件集以及这些控件的相关实现。
为了更好地理解新标准ISO/IEC 27701认证,应该理解两个关键术语:控制器和处理器。这些术语可在包括GDPR在内的许多隐私法律和法规中找到。通常,“控制者”是指示首先收集和处理PII的原因的实体,“处理者”是负责代表该个人处理此类数据的独立法律实体(即,不是雇员)。
简而言之,ISO/IEC 27701认证是ISO27001认证的增强扩展。该标准可以提供通用数据保护法规(GDPR)要求的数据隐私和信息安全标准。为了有效地管理隐私,它包含用于个人身份信息(PII)处理器和控制器的结构。实施ISO27701将创建一个隐私信息安全管理体系,简称PIMS。
使用ISO/IEC 27701认证作为数据安全性标准,可以向客户和利益相关者展示您的公司支持GDPR合规性和隐私法规。此外,它还可以确保您拥有他们可以信任的有效系统。通过使用控件降低个人和公司的潜在信息安全和隐私风险,您可以创建一个更值得信赖的品牌。
新发布的ISO/IEC 27701认证标准既适用于PII的控制器(以及联合控制器),也适用于PII的处理器(包括子处理器),而不管其运营所在的管辖区和部门如何,并且还包括对GDPR和ISO/IEC的映射29100,ISO/IEC 27018和ISO/IEC 29151安全框架。
