亚洲激情人妻中文_后进嫩翘臀美女在线视频_日韩最新av资源_免费精品视频播放网站_亚洲首页av免费观看在线_人妻黄色三级片A天堂_一区二区三级黄色片_国产免费无码福利片_草莓AV福利网站导航等_亚洲人精品天堂老司机香蕉

業(yè)務(wù)挑戰(zhàn)

隨著信息技術(shù)的不斷發(fā)展，人們對信息安全的關(guān)注日益提升，全球多個國家和地區(qū)相繼出臺了一系列隱私保護(hù)的法律法規(guī)，例如歐盟的GDPR，中國的網(wǎng)絡(luò)安全法，以及香港的個人隱私條例等，當(dāng)前幾乎所有的組織都有處理個人信息 (PII) 的情況。

面對愈加嚴(yán)格的監(jiān)管趨勢和眾多且復(fù)雜的法律法規(guī), 企業(yè)如何有效的管理和保護(hù)用戶個人信息及隱私？

個人隱私安全管理體系國際標(biāo)準(zhǔn)。

ISO/IEC27001作為國際上公認(rèn)的信息安全管理體系標(biāo)準(zhǔn)，在隱私保護(hù)方面提供了部分所需的信息安全控制措施，但如何從PII控制者和PII處理者二者不同的角度來實(shí)現(xiàn)和滿足不同國家和地區(qū)的隱私保護(hù)法律法規(guī)的要求，并沒有提供足夠的操作指引。

因此，新標(biāo)準(zhǔn)ISO/IEC27701隱私信息管理體系應(yīng)勢而生。助力企業(yè)為GDPR合規(guī)展現(xiàn)、保護(hù)用戶隱私和個人信息合規(guī)管理提供了更多相關(guān)指南。

服務(wù)概述

2019年8月6日，國際標(biāo)準(zhǔn)化組織ISO和國際電工委員會IEC正式對外發(fā)布ISO/IEC27701隱私信息管理體系標(biāo)準(zhǔn)。這標(biāo)志著信息安全、隱私與個人信息保護(hù)，在國際間法律與法規(guī)的合規(guī)展現(xiàn)有了一致性的標(biāo)準(zhǔn)。

ISO/IEC27701作為ISO/IEC27001與ISO/IEC27002在管理上的延伸標(biāo)準(zhǔn)，其目標(biāo)是通過新增的要求來增強(qiáng)現(xiàn)有信息安全管理體（ISMS）,以便建立、實(shí)施、維護(hù)和不斷改進(jìn)隱私信息管理體系（PIMS），標(biāo)準(zhǔn)概述了適用于個人身份信息（PII）控制者和PII處理者的框架，用于隱私控制管理，以降低對個人隱私的各種風(fēng)險。

（PS: 歐盟GDPR主責(zé)機(jī)構(gòu)，前身為Article 29 Working Party的European Data Protection Board (EDPB)，于ISO/IEC27701的發(fā)展過程中積極參與，并提供歐盟個人信息保護(hù)的相關(guān)建議，如ISO/IEC27701與GDPR的條文對應(yīng)。包含SC27眾會員國與EDPB，JTC1/SC27在各方達(dá)成合意后，公告了ISO/IEC27701，這也是為什么國際間認(rèn)為ISO/IEC27701目前為GDPR合規(guī)展現(xiàn)的優(yōu)秀方案之一。）

ISO27701認(rèn)證的主要目標(biāo)是什么？

通過PIMS的擴(kuò)展以及與隱私相關(guān)的控制來增強(qiáng)現(xiàn)有的信息安全管理體系（ISMS），簡化復(fù)雜的重疊隱私法的管理，創(chuàng)建一個以證據(jù)為基礎(chǔ)的隱私計劃，并通過公認(rèn)的認(rèn)證形式表明該計劃的合規(guī)性，并作為潛在的GDPR合規(guī)性的基礎(chǔ)。

現(xiàn)在發(fā)布的ISO27701認(rèn)證標(biāo)準(zhǔn)還實(shí)現(xiàn)了其他一些目的。一方面，它充當(dāng)PIMS與ISMS或ISO27001之間關(guān)系和連接的概述。它還詳述了所需的功能，并列出了PIMS數(shù)據(jù)處理器和控制器的隱私控制。在更大范圍內(nèi)，ISO27701認(rèn)證將信息隱私要求映射到相關(guān)的ISO標(biāo)準(zhǔn)和GDPR。

1． 可以使用一個體系來管理來自不同國家和地區(qū)的多項(xiàng)隱私法規(guī)和政策的合規(guī)性；

2．有助于組織向組織的最高管理層、合作伙伴、監(jiān)管機(jī)構(gòu)及其他相關(guān)方提供組織有關(guān)隱私法規(guī)工作的盡職管理證據(jù)；

3．隱私信息管理體系認(rèn)證能向客戶和合作伙伴傳遞信任。

ISO/IEC27701隱私信息管理體系標(biāo)準(zhǔn)作為隱私保護(hù)和個人信息管理的ISO國際標(biāo)準(zhǔn)。不僅帶來新增的特定隱私要求，以便有效整合現(xiàn)行ISO/IEC27001信息安全管理體系，未來更是針對隱私保護(hù)之特定領(lǐng)域 (PIMS-Specific)，以 ISO/IEC27001延伸認(rèn)證的方式實(shí)施，信息安全管理將與隱私信息管理進(jìn)行密切整合。

如何實(shí)施ISO27001認(rèn)證？

要求供應(yīng)商代表他們處理和維護(hù)PII的客戶應(yīng)考慮合同規(guī)定這些供應(yīng)商不僅要遵守ISO27001，而且要符合ISO27701，或者在適用于數(shù)據(jù)敏感性的情況下獲得ISO27701標(biāo)準(zhǔn)的認(rèn)證。即使客戶不要求供應(yīng)商通過獨(dú)立的第三方認(rèn)證也符合新標(biāo)準(zhǔn)ISO27701認(rèn)證，他們?nèi)钥赡芟Ｍ潞贤源_保供應(yīng)商可以符合ISO27701認(rèn)證的要求。由于ISO27701認(rèn)證仍然非常對于新合同，賣方應(yīng)遵守本新標(biāo)準(zhǔn)的規(guī)定合理的時間延遲，以便將其包括在這些合同中。

已通過ISO27001認(rèn)證并希望實(shí)施ISO27701要求的組織應(yīng)考慮采取以下步驟：

1．對現(xiàn)有ISMS進(jìn)行符合ISO27701認(rèn)證要求的差距評估，并就如何解決這些差距制定行動計劃。

2．對組織收集的PII進(jìn)行數(shù)據(jù)映射，以了解收集的PII的范圍以及如何使用和與處理器共享。

3．根據(jù)與組織環(huán)境相關(guān)的內(nèi)部或外部因素（例如適用的隱私法規(guī)，法規(guī)，司法決定或合同要求）確定組織作為控制者和/或處理者的角色。

4．查看并更新隱私策略，以確保它們包含必需的信息。

5．制定適用于組織角色的政策和程序。

6．通過設(shè)計和默認(rèn)原則開始規(guī)劃和實(shí)施隱私。

在世界各地，立法者和監(jiān)管者都在引入新的法律來規(guī)范數(shù)據(jù)的使用，尤其是PII。最近，GDPR的出現(xiàn)使許多企業(yè)（包括客戶和供應(yīng)商）爭相達(dá)成合規(guī)性。不斷變化的法律環(huán)境給所有企業(yè)帶來了挑戰(zhàn)，尤其是必須遵守多個司法管轄區(qū)法規(guī)的企業(yè)。新的ISO27701認(rèn)證標(biāo)準(zhǔn)不會嘗試單獨(dú)和本地處理每項(xiàng)新法律，而是提供一種統(tǒng)一的方式來決定，計劃，實(shí)施和記錄組織在全球范圍內(nèi)的數(shù)據(jù)隱私方法。

無論組織的規(guī)模大小，是PII的控制者還是處理者，企業(yè)都應(yīng)考慮為自己的組織或向供應(yīng)商要求獲得ISO27701認(rèn)證。對于處理敏感或大量PII的處理器，子處理器和聯(lián)合控制器尤其如此。