世通国际认证20年、3.6万家企业认证审核经验,整合认证服务!
400-675-8617
认证服务导航
- 体系认证
- ISO9001质量管理体系
- ISO14001环境管理体系
- ISO45001职业健康安全管理体系
- ISO22000食品安全管理体系
- HACCP危害分析与关键控制点体系
- GB/T 31950诚信管理体系
- ISO27001信息安全管理体系
- ISO20000信息技术服务管理体系
- GB/T 50430工程施工质量管理规范
- IATF16949汽车行业质量管理体系
- 绿色工厂认证 - 绿色工厂评价 - 绿色制造体系评价机构
- ISO50001能源管理体系
- 整合管理体系 - 整合认证服务
- ISO13485医疗器械质量管理体系
- 碳中和认证
- 产品碳足迹认证
- 碳资产管理体系认证
- 碳排放管理体系
- SA8000社会责任管理体系
- 军工资质
- 节能降碳
- 海关AEO
- 服务认证
- AAA认证
- 食品认证
- 培训服务
ISO/IEC 27701隐私信息安全管理体系
隐私信息管理体系ISO/IEC 27701标准解析 随着社交媒体APP和物联网设备在生活中的广泛应用,以及全球隐私法律法规的激增,诸如:《欧盟通用数据保护条例》(GDPR)、《加州消费者隐私
隐私信息管理体系ISO/IEC 27701标准解析
随着社交媒体APP和物联网设备在生活中的广泛应用,以及全球隐私法律法规的激增,诸如:《欧盟通用数据保护条例》(GDPR)、《加州消费者隐私法》(CCPA)和《中国网络安全法》(China network security Law),隐私保护问题已然成为了当前社会的焦点,这意味着组织现在面临着来自客户、最终用户、投资者和监管机构的多重压力,企业如何管理个人可识别信息(PII)或个人数据,如何确保隐私合规,都成为摆在企业面前亟待解决的新问题和新挑战。
隐私的概念经常被误解或被错误地对待。许多企业认为,不将数据传递给第三方并确保其数据库受密码保护就足够了。诸如“同意”、“托收目的”或“跨境转移”等概念要么被忽视,要么不被理解。针对GDPR和CCPA的严厉罚款让许多组织已经意识到了这些风险,并开始注重其隐私保护。
2019年8月发布的隐私安全标准ISO/IEC 27701:2019,能帮助企业拓展ISO /IEC 27001体系对保护隐私的局限性,更全面、准确、充分地应对隐私保护及合规要求。
今天我们先来看看ISO/IEC 27701:2019 标准的结构及其与 ISO/IEC 27001 和 ISO/IEC 27002之间的关系。
ISO/IEC 27701:2019的正式名称为安全技术--ISO/IEC 27001 和 ISO/IEC 27002 对隐私信息管理的扩展--要求和指南。其以ISO/IEC 27001 和 ISO/IEC 27002 对隐私信息管理的扩展方式,为在组织范围内建立、实施、维护和持续改进隐私信息管理体系(PIMS)指定要求,并提供指南。
与ISO/IEC 27001 配合使用,是认证要求和实施指南的组合体。 它是对ISO/IEC 27001 的扩展,因其增加了附加的PIMS 相关要求,如条款5、附录 A 和附录 B。认证要求在标准中共有67项,表述为'应'。同时,为组织实施 PIMS,还增加了从ISO/IEC 27002 到 PIMS的附加指南,例如条款6、7和8。
一表了解ISO/IEC 27701:2019 标准的详细结构:
条款 条款标题 备注
1 范围 标准的适用性
2 规范性引用文件 标准参考
3 术语、定义和缩写
4 总则 标准结构的描述
5 与 ISO/IEC 27001 相关的PIMS特定要求 在ISO/IEC 27001 中要求的PIMS特定要求
6 与 ISO/IEC 27002 相关的PIMS特定指南 在ISO/IEC 27002中,PIMS对控制点的特定指南
7 对PII控制者附加的ISO/IEC 27002指南 对PII控制者的附加ISO/IEC 27002指南
8 对PII处理者附加的ISO/IEC 27002指南 对PII处理者附加的ISO/IEC 27002指南
附录 A (规范性附录)PIMS特定参考控制目标和控制(PII 控制者) 强制性控制,适用于数据控制者
附录 B (规范性附录)PIMS特定参考控制目标和控制(PII 处理者) 强制性控制,适用于数据处理者
附录 C 与ISO/IEC 29100的对照关系 非认证的、信息性的附录
附录 D 与通用数据保护条例(GDPR)的对照关系
附录 E 附录 E(信息性),与ISO/IEC 27018和ISO/IEC 29151 的对照关系
附录 F 如何将ISO/IEC 27701 应用于ISO/IEC 27001 和 ISO/IEC 27002
主要条款详情:
条款5 与 ISO/IEC 27001 相关的PIMS特定要求
涵盖了对 ISO/IEC 27001:2013 条款4~10附加的要求,均为认证要求。例如,如本标准中条款5.7.2 的表述:
ISO/IEC 27001:2013,9.2 中所述要求以及5.1 中所述的解释均适用。
该标准不增加任何新的内部审核要求,只要组织理解这是ISO/IEC 27001:2013 对处理个人可识别信息(PII)所可能增加风险的“信息安全”要求。
ISO/IEC 27701:2019对ISO/IEC 27001的以下条款增加了附加的要求:
4.1 理解组织及其环境
4.2 理解相关方的需求和期望
4.3 确定信息安全管理体系的范围
6.1.2 信息安全风险评估
6.1.3 信息安全风险处置
条款6 与ISO/IEC 27002相关的PIMS特定指南
涵盖了与ISO/IEC 27002有关的其他PIMS相关指南。例如,标准条款6.9.4.4(与 ISO/IEC 27001:2013 的12.4.4 时钟同步相对应)不包含任何附加要求,因为时钟同步与隐私风险没有相关性。
.jpg)
.jpg)
.jpg)
.jpg)
随着社交媒体APP和物联网设备在生活中的广泛应用,以及全球隐私法律法规的激增,诸如:《欧盟通用数据保护条例》(GDPR)、《加州消费者隐私法》(CCPA)和《中国网络安全法》(China network security Law),隐私保护问题已然成为了当前社会的焦点,这意味着组织现在面临着来自客户、最终用户、投资者和监管机构的多重压力,企业如何管理个人可识别信息(PII)或个人数据,如何确保隐私合规,都成为摆在企业面前亟待解决的新问题和新挑战。
隐私的概念经常被误解或被错误地对待。许多企业认为,不将数据传递给第三方并确保其数据库受密码保护就足够了。诸如“同意”、“托收目的”或“跨境转移”等概念要么被忽视,要么不被理解。针对GDPR和CCPA的严厉罚款让许多组织已经意识到了这些风险,并开始注重其隐私保护。
2019年8月发布的隐私安全标准ISO/IEC 27701:2019,能帮助企业拓展ISO /IEC 27001体系对保护隐私的局限性,更全面、准确、充分地应对隐私保护及合规要求。
今天我们先来看看ISO/IEC 27701:2019 标准的结构及其与 ISO/IEC 27001 和 ISO/IEC 27002之间的关系。
ISO/IEC 27701:2019的正式名称为安全技术--ISO/IEC 27001 和 ISO/IEC 27002 对隐私信息管理的扩展--要求和指南。其以ISO/IEC 27001 和 ISO/IEC 27002 对隐私信息管理的扩展方式,为在组织范围内建立、实施、维护和持续改进隐私信息管理体系(PIMS)指定要求,并提供指南。
与ISO/IEC 27001 配合使用,是认证要求和实施指南的组合体。 它是对ISO/IEC 27001 的扩展,因其增加了附加的PIMS 相关要求,如条款5、附录 A 和附录 B。认证要求在标准中共有67项,表述为'应'。同时,为组织实施 PIMS,还增加了从ISO/IEC 27002 到 PIMS的附加指南,例如条款6、7和8。
一表了解ISO/IEC 27701:2019 标准的详细结构:
条款 条款标题 备注
1 范围 标准的适用性
2 规范性引用文件 标准参考
3 术语、定义和缩写
4 总则 标准结构的描述
5 与 ISO/IEC 27001 相关的PIMS特定要求 在ISO/IEC 27001 中要求的PIMS特定要求
6 与 ISO/IEC 27002 相关的PIMS特定指南 在ISO/IEC 27002中,PIMS对控制点的特定指南
7 对PII控制者附加的ISO/IEC 27002指南 对PII控制者的附加ISO/IEC 27002指南
8 对PII处理者附加的ISO/IEC 27002指南 对PII处理者附加的ISO/IEC 27002指南
附录 A (规范性附录)PIMS特定参考控制目标和控制(PII 控制者) 强制性控制,适用于数据控制者
附录 B (规范性附录)PIMS特定参考控制目标和控制(PII 处理者) 强制性控制,适用于数据处理者
附录 C 与ISO/IEC 29100的对照关系 非认证的、信息性的附录
附录 D 与通用数据保护条例(GDPR)的对照关系
附录 E 附录 E(信息性),与ISO/IEC 27018和ISO/IEC 29151 的对照关系
附录 F 如何将ISO/IEC 27701 应用于ISO/IEC 27001 和 ISO/IEC 27002
主要条款详情:
条款5 与 ISO/IEC 27001 相关的PIMS特定要求
涵盖了对 ISO/IEC 27001:2013 条款4~10附加的要求,均为认证要求。例如,如本标准中条款5.7.2 的表述:
ISO/IEC 27001:2013,9.2 中所述要求以及5.1 中所述的解释均适用。
该标准不增加任何新的内部审核要求,只要组织理解这是ISO/IEC 27001:2013 对处理个人可识别信息(PII)所可能增加风险的“信息安全”要求。
ISO/IEC 27701:2019对ISO/IEC 27001的以下条款增加了附加的要求:
4.1 理解组织及其环境
4.2 理解相关方的需求和期望
4.3 确定信息安全管理体系的范围
6.1.2 信息安全风险评估
6.1.3 信息安全风险处置
条款6 与ISO/IEC 27002相关的PIMS特定指南
涵盖了与ISO/IEC 27002有关的其他PIMS相关指南。例如,标准条款6.9.4.4(与 ISO/IEC 27001:2013 的12.4.4 时钟同步相对应)不包含任何附加要求,因为时钟同步与隐私风险没有相关性。
.jpg)
-
客户案例
更多>> - 山东瑞宁信息技术股份有限公司2021-11-08
- 中乌先楚核能科技有限公司取得三体系认证2021-11-08
- 淄博市临淄国风实业有限公司取得质量管理体2021-11-08
- 山东津挚环保科技有限公司取得三体系认证2021-11-03
- 山东梅隆工程项目管理有限公司取得三体系认2021-11-03
-
客户案例
更多>> - 青岛鼎塑科技有限公司取得质量管理体系认证2021-11-03
- 德州实华化工有限公司取得三体系认证2021-11-03
- 光大环保能源(寿光)有限公司取得三体系认2021-11-03
- 青岛美宝装饰艺术有限公司取得三体系认证2021-09-30
- 邹城市圣泰物业管理有限公司取得三体系认证2020-09-25
-
培训动态
更多>> - 【公益培训】世通助力企业管理提升—《IS2022-08-12
- 关于举办“碳排放权交易市场”线上公益培训2022-08-10
- 【培训通知】世通国际认证8月日照市三体系2022-08-03
- 【培训通知】世通国际认证---关于开展专2022-06-27
- 【培训通知】世通国际认证7月青岛市、济宁2022-06-27
联系我们
山东世通国际认证有限公司2003年被CNCA批准、CNAS认可,总部位于山东青岛,是可直接颁发国际互认证书的权威认证机构。
服务电话:400-675-8617
世通国际认证 官方服务号
友情链接: 国家认监委 国家市场监督管理总局 认证认可信息查询平台 中国认证认可协会 中国合格评定国家认可委员 国家企业信用信息公示系统 世通认证 国家标准化管理委员会 世通集团 军队采购网 全军武器装备采购信息网 青岛节能协会碳中和专业委员会
山东世通国际认证有限公司 © 2003-2020 鲁ICP备09071377号