对于要求供应商处理和维护PII的客户来说,合同规定应明确要求供应商不仅遵守ISO27001标准,还要符合ISO27701标准,或者在数据敏感性较高的情况下获得ISO27701标准的认证。这是因为ISO27701是专门针对个人信息管理的扩展要求,为ISO27001信息安全管理体系(ISMS)提供了额外的指导和要求,以确保个人信息的隐私得到妥善保护。
即使客户没有明确要求供应商通过独立的第三方认证来符合新标准ISO27701,他们仍然可能希望更新合同以确保供应商能够遵循这些要求。在这种情况下,合同应明确规定供应商有义务遵守ISO27701标准的相关要求,并设定合理的时间延迟,以便供应商能够在合同中包括这些新标准。
对于已通过ISO27001认证并希望实施ISO27701要求的组织,以下是一些建议的步骤:
进行差距评估:对现有ISMS进行符合ISO27701要求的差距评估,识别并确定需要改进或增加的控制措施,以符合ISO27701的要求。并制定行动计划来解决这些差距。
数据映射:对组织收集的PII进行数据映射,了解PII的收集范围、使用方式以及与处理器共享的情况。这有助于组织更好地了解其PII的管理情况,并制定相应的保护措施。
确定角色:根据与组织环境相关的内部或外部因素(如适用的隐私法规、法规、司法决定或合同要求),确定组织作为控制者和/或处理者的角色。这有助于组织明确其在个人信息处理过程中的责任和义务。
更新隐私策略:查看并更新隐私策略,以确保它们包含ISO27701标准所要求的所有信息。隐私策略应清晰、明确地阐述组织如何收集、使用、存储和保护个人信息。
制定政策和程序:制定适用于组织角色的政策和程序,以确保所有员工都了解并遵循ISO27701标准的要求。这些政策和程序应涵盖个人信息的收集、使用、共享、存储和销毁等方面。
实施隐私保护:通过设计和默认原则开始规划和实施隐私保护。这意味着在设计信息系统和流程时,应优先考虑隐私保护的要求,并确保默认情况下不泄露个人信息。
总之,要求供应商遵循ISO27001和ISO27701标准对于保护个人信息至关重要。对于已通过ISO27001认证的组织来说,实施ISO27701要求需要一定的努力和时间,但通过遵循上述步骤,可以确保组织能够逐步符合这一新标准的要求。
