隨著社交媒體APP和物聯(lián)網(wǎng)設(shè)備在生活中的廣泛應(yīng)用，以及全球隱私法律法規(guī)的激增，諸如：《歐盟通用數(shù)據(jù)保護(hù)條例》（GDPR）、《加州消費(fèi)者隱私法》（CCPA）和《中國網(wǎng)絡(luò)安全法》（China network security Law），隱私保護(hù)問題已然成為了當(dāng)前社會的焦點(diǎn)，這意味著組織現(xiàn)在面臨著來自客戶、最終用戶、投資者和監(jiān)管機(jī)構(gòu)的多重壓力，企業(yè)如何管理個(gè)人可識別信息（PII）或個(gè)人數(shù)據(jù)，如何確保隱私合規(guī)，都成為擺在企業(yè)面前亟待解決的新問題和新挑戰(zhàn)。

隱私的概念經(jīng)常被誤解或被錯(cuò)誤地對待。許多企業(yè)認(rèn)為，不將數(shù)據(jù)傳遞給第三方并確保其數(shù)據(jù)庫受密碼保護(hù)就足夠了。諸如“同意”、“托收目的”或“跨境轉(zhuǎn)移”等概念要么被忽視，要么不被理解。針對GDPR和CCPA的嚴(yán)厲罰款讓許多組織已經(jīng)意識到了這些風(fēng)險(xiǎn)，并開始注重其隱私保護(hù)。

2019年8月發(fā)布的隱私安全標(biāo)準(zhǔn)ISO/IEC 27701:2019，能幫助企業(yè)拓展ISO/IEC 27001體系對保護(hù)隱私的局限性，更全面、準(zhǔn)確、充分地應(yīng)對隱私保護(hù)及合規(guī)要求。


我們先來看看ISO/IEC 27701:2019 標(biāo)準(zhǔn)的結(jié)構(gòu)及其與 ISO/IEC 27001 和 ISO/IEC 27002之間的關(guān)系。

ISO/IEC 27701:2019的正式名稱為安全技術(shù)--ISO/IEC 27001 和 ISO/IEC 27002 對隱私信息管理的擴(kuò)展--要求和指南。其以ISO/IEC 27001 和 ISO/IEC 27002 對隱私信息管理的擴(kuò)展方式，為在組織范圍內(nèi)建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)隱私信息管理體系（PIMS）指定要求，并提供指南。

與ISO/IEC 27001 配合使用，是認(rèn)證要求和實(shí)施指南的組合體。 它是對ISO/IEC 27001 的擴(kuò)展，因其增加了附加的PIMS 相關(guān)要求，如條款5、附錄 A 和附錄 B。認(rèn)證要求在標(biāo)準(zhǔn)中共有67項(xiàng)，表述為'應(yīng)'。同時(shí)，為組織實(shí)施 PIMS，還增加了從ISO/IEC 27002 到 PIMS的附加指南，例如條款6、7和8。

一表了解ISO/IEC 27701:2019 標(biāo)準(zhǔn)的詳細(xì)結(jié)構(gòu)：

主要條款詳情：

條款5與ISO/IEC 27001相關(guān)的PIMS特定要求

涵蓋了對ISO/IEC 27001:2013條款4-10附加的要求，均為認(rèn)證要求。例如，如本標(biāo)準(zhǔn)中條款5.7.2 的表述：
ISO/IEC 27001:2013，9.2中所述要求以及5.1中所述的解釋均適用。該標(biāo)準(zhǔn)不增加任何新的內(nèi)部審核要求，只要組織理解這是ISO/IEC 27001:2013對處理個(gè)人可識別信息（PII）所可能增加風(fēng)險(xiǎn)的"信息安全"要求。

ISO/IEC 27701:2019對ISO/IEC 27001的以下條款增加了附加的要求：

條款6 與ISO/IEC 27002相關(guān)的PIMS特定指南

涵蓋了與ISO/IEC 27002有關(guān)的其他PIMS相關(guān)指南。例如，標(biāo)準(zhǔn)條款6.9.4.4（與 ISO/IEC 27001:2013 的12.4.4 時(shí)鐘同步相對應(yīng)）不包含任何附加要求，因?yàn)闀r(shí)鐘同步與隱私風(fēng)險(xiǎn)沒有相關(guān)性。另一方面，標(biāo)準(zhǔn)條款6.9.3.1 （與 ISO/IC 27001:2013 的12.3.1 信息備份相對應(yīng)）則增加較多的隱私管理指南，因?yàn)樾畔浞菘赡艽嬖陔[私風(fēng)險(xiǎn)，例如數(shù)據(jù)保留期、跨境數(shù)據(jù)傳輸?shù)?。下表總結(jié)了 ISO/IEC 27002 各個(gè)領(lǐng)域中的控制點(diǎn)的數(shù)量。在 ISO/IEC 27002 中，共對32項(xiàng)新的控制點(diǎn)進(jìn)行了修訂。與ISO/IEC 27002一樣，條款6中的指南為非認(rèn)證條款。

條款7 對PII控制者附加的ISO/IEC 27002指南

為 PII 控制者提供指南。對于 PII 控制者所需的所有控制點(diǎn)都列在標(biāo)準(zhǔn)的附錄A 中。這些控制點(diǎn)是規(guī)范性的，這意味著如果組織作為控制者，則應(yīng)實(shí)施這些控制（參見如下認(rèn)證中的 PII 控制者與PII 處理者）。條款7中所提供的指南有助于組織實(shí)施這些控制。然而，這些指南為非認(rèn)證性的。

條款8 對PII處理者附加的ISO/IEC 27002指南

為 PII 處理者提供指南。本標(biāo)準(zhǔn)附錄 B 列出了 PII 處理者的控制點(diǎn)。與附錄 A 相似，如果組織作為處理者，這些控制點(diǎn)是規(guī)范性的。條款8的指南是非認(rèn)證性的。

企業(yè)獲得 ISO/IEC 27701 認(rèn)證的益處

獲取客戶關(guān)于組織對隱私信息管理方面的信任，以獲得潛在業(yè)務(wù)；
證實(shí)組織對其產(chǎn)品和服務(wù)目標(biāo)市場所在地隱私法規(guī)的遵從，獲得所在地的市場準(zhǔn)入；
向相關(guān)方證實(shí)其在隱私管理方面的能力和符合性；
組織自身為證實(shí)其在隱私管理方面的能力和符合性。

以上是隱私信息管理體系的部分科普內(nèi)容，如需第一時(shí)間掌握更多標(biāo)準(zhǔn)科普信息，請持續(xù)關(guān)注我們，您還可以掃描下方二維碼，填寫信息后即可下載ISO/IEC 27701:2019相關(guān)的詳細(xì)資料！

SGS作為國際公認(rèn)的檢驗(yàn)、鑒定、測試和認(rèn)證機(jī)構(gòu)，在全球IT領(lǐng)域率先成立了網(wǎng)絡(luò)實(shí)驗(yàn)室及GDPR 方案解決中心，并且是頒發(fā)全球第一張ISO 22301認(rèn)證證書的第三方機(jī)構(gòu)。

SGS秉持務(wù)實(shí)、創(chuàng)新的精神，已為眾多知名品牌企業(yè)提供IT相關(guān)的認(rèn)證及培訓(xùn)服務(wù)，如：DHL 、飛利浦、青蓮云等，我們提供的服務(wù)解決方案，助力您的企業(yè)合規(guī)發(fā)展：

1. ISO/IEC 27701認(rèn)證
2. 已通過ISO/IEC 27001認(rèn)證有計(jì)劃與ISO/IEC 27701同時(shí)認(rèn)證
3. 為期兩天的ISO/IEC 27701培訓(xùn)
4. 為期四天的ISO/IEC 27001+ISO/IEC 27701培訓(xùn)
5. GDPR培訓(xùn)
6. 針對特定或當(dāng)?shù)仉[私法規(guī)的其他培訓(xùn)、解決方案