隨著信息技術的不斷發展,人們對信息安全的關注日益提升,全球多個國家和地區相繼出臺了一系列隱私保護的法律法規,例如歐盟的GDPR,中國的網絡安全法,以及香港的個人隱私條例等,當前幾乎所有的組織都有處理個人信息(PII)的情況。
2019年8月6日,國際標準化組織ISO和國際電工委員會IEC正式對外發布ISO/IEC27701隱私信息管理體系標準。
這標志著信息安全、隱私與個人信息保護,在國際間法律與法規的合規展現有了一致性的標準。
ISO/IEC27701作為ISO/IEC27001與ISO/IEC27002在管理上的延伸標準,其目標是通過新增的要求來增強現有信息安全管理體系(ISMS),以便建立、實施、維護和不斷改進隱私信息管理體系(PIMS),標準概述了適用于個人身份信息(PII)控制者和PII處理者的框架,用于隱私控制管理,以降低對個人隱私的各種風險。
1、滿足合規要求
通過明確對PII處理者生命周期的隱私保護要求,可以明確隱私保護管理合規目標,減輕組織合規負擔的同時降低組織合規風險,ISO27701標準附錄D中明確表示,單個隱私控制點可以滿足GDPR中的多項要求。滿足了ISO27701標準也就意味著基本滿足GDPR的要求,而GDPR是眾多隱私保護法規中最為嚴格的,也就意味著滿足了即將頒布的《隱私保護法》的系列要求。
2、完善數據安全能力和風險管理
提高組織管理數據安全和隱私風險的能力,實現持續完善產品的非功能性要求,進而展示出產品在處理個人隱私安全、安全治理的績效,通過流程分析,通過流程分析,在流程的輸入、輸出、控制各個環節中,識別、分析、驗證隱私保護需求,減少甚至消除隱私泄露的風險
3、增強對個人信息管理的信任
業務伙伴通常會要求PII處理者提供相關證據,來證明其產品能符合適用的隱私管理體系要求。通過得到授權的第三方機構對PII處理者進行審計驗證,可以極大地降低合規溝通成本,這種合規透明度的提高對于組織戰略和業務決策至關重要,同時PIMS認證也有助于向公眾傳達組織的可信度
【ISO/IEC 27701認證輔導】【ISO/IEC 27701認證咨詢】
分享到:
