ISO27701:2019是为建立、实现、维护和持续改进隐私信息管理系统(PIMS)提供具体要求和指南,令PIMS作为ISO27001中定义的灵活信息安全管理系统(ISMS)的扩展,在信息安全的基础上将处理PII所需的隐私保护纳入考虑。
ISO27001认证是由认证机构依据特定的审核规则,按照规定的程序和方法,对受审核方,也就是我们的企业实施审核。是一种通过权威的第三方审核之后提供的证明。
ISO27701是ISO27001和ISO27002在隐私信息管理方面的扩展,并在隐私保护方面提供了必要的额外要求。ISO/IEC27701标准的正文由8个条款组成,其中:
条款1-4,给出了标准的范围,术语、定义等。
条款5介绍了ISO27001中延伸出的关于PIMS的扩展要求以及本标准对PIMS的附加要求。
条款6介绍了ISO27002中对PIMS的扩展及附加要求。上述条款对PII的控制者和处理者均适用。
条款7给出了针对PII控制者的ISO27002扩展指南。
条款8给出了针对PII处理者的ISO27002扩展指南。这两章从PII的收集和处理,对PII主体的义务,Privacybydesign&Privacybydefault,PII的共享、传输和披露四个方面做出了相应规定。
附录A是针对PII控制者的PIMS特定的控制目标和控制措施。
附录B是针对PII处理者的PIMS特定的控制目标和控制措施。
附录C给出了标准与ISO/IEC29100的映射。
附录D是与GDPR的映射。
附录E是与ISO/IEC27018和ISO/IEC29151的映射。
附录F则是如何在处理PII时将ISO/IEC27001和ISO/IEC27002扩展到隐私保护。
总体而言,标准通过第5章和第6章将ISO27002与附加的PIMS控制项构成了完整的信息安全和隐私管理体系。第7章和第8章从数据生命周期的角度新增分别针对PII控制者和处理者的控制要求。
