ISO27701认证 隐私管理体系体系认证标准ISO/IEC27701与其他信息安全体系认证标准之间
发布时间: 2021-07-02 18:26 点击:
b) ISO27002为ISO27001提供风险处置具体的控制目标和控制措施。
d) ISO27001帮助企业建立ISMS,通过有效的风险管理来保护和管理组织的所有信息,从数据安全方面满足GDPR的部分要求。
e) ISO 27701加入了隐私保护的额外要求,更全面地覆盖了GDPR的要求。
ISO27002 中共14个控制域,每个控制项中包含控制措施、实施指南和其他信息。将所有“信息安全”替换为“信息安全和隐私”后,除了“业务连续性管理的信息安全方面”的控制域,ISO27701对ISO27002中控制域中的实施指南和其他信息均有额外的补充,但控制措施均延续ISO27002的控制措施(仅将“信息安全”替换为“信息安全和隐私”)
ISO27701 VS GDPR
ISO27701的认证能在极大程度上表明组织符合GDPR的要求。根据附录D ISO27701与GDPR适用条款(Article 4-42, 44-49)之间的映射关系,通过对比GDPR的原条款,发现ISO27701覆盖了绝大部分GDPR的要求,仅个别GDPR的条款未被ISO27701覆盖,条款涉及的主要内容如下:
Article 14 个人数据还未从数据主体处获得时(数据控制者)应提供的信息 (5)(a):数据控制者应当向数据主体提供所规定提供给数据主体的信息,除非数据主体已获知相关信息
Article 23 限制:欧盟或成员国法律可以通过立法手段限制本法第12条至第22条和第34条规定的权利义务范围
Article 35 数据保护影响评估 (6):此段针对监管机构,规定了在给出数据保护影响评估相关清单时需应用一致性机制的场景
Article 36 事先咨询 (4):数据保护影响评估表明在数据控制者缺乏减轻风险的措施会导致高风险时,数据控制者应当在处理前向监管机构咨询
尽管根据ISO27701和GDPR的映射来看,GDPR的内容基本均在ISO27701中有所体现,但仍不能认为ISO27701可以作为表明完全符合GDPR的全球性认证。主要是由于通用性的国际标准无法完全符合某个国家或地区具体的法律法规。由于ISO27701为国际通用地标准,某些要求仅通用性地指出应遵守某些适用地法律法规,未包含具体地规定,而GDPR则明确指出具体地要求
例1:对于儿童个人数据收集方面的规定
GDPR:明确指出对于不满16周岁的儿童,处理行为只有或至少在获得了该儿童的监护人的同意或授权时才是合法的,年龄界限可依据特定目的调整,但不得低于13周岁。
ISO27701:对某些类型的数据收集(例如用于科学研究)和某些类型的PII主体(例如儿童)可能有额外的要求。组织应考虑此类要求并记录同意的机制如何满足这些要求。
例2:向监管机构报告个人数据泄露
GDPR:数据控制者应当自发现之时起72小时内,按照第55条的规定将个人数据泄露的情况报告监管机构。
ISO27701:一些司法管辖区对违规响应实施了具体规定,包括通知。在这些司法管辖区运营的组织应确保他们能够证明遵守这些法规。
此外,个别术语的定义和具体要求的颗粒度也有所不同。
中鸿认证服务 www.cnqr.org 1998年至今 直办非中介 全国接单 远程或就近安排审核
新系统集成资质CS/ITSS/CCRC/DCMM认证,ISO三体系,售后服务/诚信认证,软件CMMI评估,互联网ISO27001/ISO27701/ISO20000认证,食品HACCP/ISO22000/BRC/绿色食品/有机食品,汽车16949认证,军工三证,实验室CMA/CNAS/10012,社会责任SA8000/ISO26000,医疗器械13485,知产贯标/能源体系/业务连续性等,产品认证(3C/绿色产品/十环)各类AAA信用评级等等,详见空间。
1.诚聘专兼职审核员(全国),专职咨询老师(成都),专职市场专员 年薪10-35万
2.全国诚招ISO认证代理人(企业版/个人版),转发信息即佣金,免费培训。
3.本年度ISO内审员免费培训开始了,每月免费名额有限,从速预计。