ISO27701標準的結構
發布時間:2025-04-02 點擊:35
ISO27701標準的要求分為以下幾個章節:
ISO27701第5章概述了與ISO27001相關的PIMS要求。
ISO27701第6章概述了與ISO27002相關的PIMS要求。
ISO27701第7章概述了控制器的PIMS指南。
ISO27701第8章概述了針對處理器的PIMS指南。
ISO27701第5章:與ISO27001相關的PIMS要求
本章包含對ISO27001的許多引用,并且本質上旨在針對具有隱私相關要求的現有ISMS進行升級。 通常,這意味著在ISO27001中“信息安全性”中提到的任何地方都應閱讀或用“信息安全性和隱私性”代替(另請參閱第5.1段)。 下表列出了一些示例,說明了應用這些更改并不是火箭科學。
除了應用此一般更改外,還將涵蓋ISO27001的所有章節。 下面將參考ISO27701段落編號(在方括號中)討論最重要的更改。
組織環境(5.2)
要評估的第一個主題是您的組織是個人數據的控制者和/或處理者。 此外,檢查有關隱私的相關法律和法規也很重要。 應該對可能影響PIMS預期結果的相關內部和外部因素進行概述。 其他示例包括合同要求,還包括合作伙伴和其他相關方的角色。
領導的參與(5.3)
對于領導層的參與,沒有針對隱私的特定要求。
規劃和目標(5.4)
隱私風險的處理方式與ISO27001中的信息安全風險的處理方式相同。可以應用集成的信息安全和隱私風險評估,也可以創建兩個單獨的流程。 關于風險處理,必須考慮到ISO27701附件A和B中提到的隱私控制。
支持包括資源和溝通(5.5)
本段僅包含對ISO27001的第7章的引用。
運營方面(5.6)
本段僅包含對ISO27001的第8章的引用。
績效評估(5.7)
本段僅包含對ISO27001第9章的引用。
持續改進(5.8)
本段僅包含對ISO27001第10章的引用。
添加以上與隱私相關的要求將為隱私信息管理系統或PIMS提供基礎。
ISO27701第6章:與ISO27002相關的PIMS要求
在本節中,將特定的隱私要求添加到ISO27002中的現有信息安全控件中 。 第6章中提到的兩個控件在這里值得一提,因為它們說明了隱私和安全程序之間的交集:
保護測試數據
該控件指出,除了ISO27002控件14.3.1之外,不應將個人身份信息用于測試目的。 優良作法是將虛擬數據用于測試目的,因為測試環境易受攻擊。
信息安全事件管理
與安全相關的事件可能會導致個人數據泄露。 在一些國家/地區,有關于違規報告的法規。 不僅需要在技術層面上管理此類事件的內部責任,而且還需要用于通知有關當局或數據主體的程序。
ISO27701第7章:針對管制員的GDPR指南
本章包含針對個人信息控制者的多項GDPR合規性檢查。 但是,根據GDPR,大多數控制措施都是強制性的。 涵蓋的主題有:
處理個人數據的合法依據
同意管理
數據保護影響評估(DPIA)
數據處理協議
促進數據主體權利
通過設計和默認原則實施隱私
數據出口到第三國
ISO27701第8章:處理器的GDPR指南
本章包含針對個人信息處理者的多項GDPR合規性檢查。 但是,根據GDPR,大多數控制措施都是強制性的。 涵蓋的主題有:
加工條件
數據保護原則
通過設計和默認原則實施隱私
數據出口到第三國
cb認證可以轉成哪些認證
病故視同工傷的情形有哪些
非法集資怎么去報案
淮南市田家庵高新技術企業認定時間2023年條件材料流程問題解答(各項獎補政策)
物流公司ISO9001認證體系合同評審控制程序
ISO26000-2010社會責任管理體系認證機構及費用收費
借錢不還起訴需要怎樣的證據
給未成年子女買房可以嗎
ISO27701第5章概述了與ISO27001相關的PIMS要求。
ISO27701第6章概述了與ISO27002相關的PIMS要求。
ISO27701第7章概述了控制器的PIMS指南。
ISO27701第8章概述了針對處理器的PIMS指南。
ISO27701第5章:與ISO27001相關的PIMS要求
本章包含對ISO27001的許多引用,并且本質上旨在針對具有隱私相關要求的現有ISMS進行升級。 通常,這意味著在ISO27001中“信息安全性”中提到的任何地方都應閱讀或用“信息安全性和隱私性”代替(另請參閱第5.1段)。 下表列出了一些示例,說明了應用這些更改并不是火箭科學。
除了應用此一般更改外,還將涵蓋ISO27001的所有章節。 下面將參考ISO27701段落編號(在方括號中)討論最重要的更改。
組織環境(5.2)
要評估的第一個主題是您的組織是個人數據的控制者和/或處理者。 此外,檢查有關隱私的相關法律和法規也很重要。 應該對可能影響PIMS預期結果的相關內部和外部因素進行概述。 其他示例包括合同要求,還包括合作伙伴和其他相關方的角色。
領導的參與(5.3)
對于領導層的參與,沒有針對隱私的特定要求。
規劃和目標(5.4)
隱私風險的處理方式與ISO27001中的信息安全風險的處理方式相同。可以應用集成的信息安全和隱私風險評估,也可以創建兩個單獨的流程。 關于風險處理,必須考慮到ISO27701附件A和B中提到的隱私控制。
支持包括資源和溝通(5.5)
本段僅包含對ISO27001的第7章的引用。
運營方面(5.6)
本段僅包含對ISO27001的第8章的引用。
績效評估(5.7)
本段僅包含對ISO27001第9章的引用。
持續改進(5.8)
本段僅包含對ISO27001第10章的引用。
添加以上與隱私相關的要求將為隱私信息管理系統或PIMS提供基礎。
ISO27701第6章:與ISO27002相關的PIMS要求
在本節中,將特定的隱私要求添加到ISO27002中的現有信息安全控件中 。 第6章中提到的兩個控件在這里值得一提,因為它們說明了隱私和安全程序之間的交集:
保護測試數據
該控件指出,除了ISO27002控件14.3.1之外,不應將個人身份信息用于測試目的。 優良作法是將虛擬數據用于測試目的,因為測試環境易受攻擊。
信息安全事件管理
與安全相關的事件可能會導致個人數據泄露。 在一些國家/地區,有關于違規報告的法規。 不僅需要在技術層面上管理此類事件的內部責任,而且還需要用于通知有關當局或數據主體的程序。
ISO27701第7章:針對管制員的GDPR指南
本章包含針對個人信息控制者的多項GDPR合規性檢查。 但是,根據GDPR,大多數控制措施都是強制性的。 涵蓋的主題有:
處理個人數據的合法依據
同意管理
數據保護影響評估(DPIA)
數據處理協議
促進數據主體權利
通過設計和默認原則實施隱私
數據出口到第三國
ISO27701第8章:處理器的GDPR指南
本章包含針對個人信息處理者的多項GDPR合規性檢查。 但是,根據GDPR,大多數控制措施都是強制性的。 涵蓋的主題有:
加工條件
數據保護原則
通過設計和默認原則實施隱私
數據出口到第三國
cb認證可以轉成哪些認證
病故視同工傷的情形有哪些
非法集資怎么去報案
淮南市田家庵高新技術企業認定時間2023年條件材料流程問題解答(各項獎補政策)
物流公司ISO9001認證體系合同評審控制程序
ISO26000-2010社會責任管理體系認證機構及費用收費
借錢不還起訴需要怎樣的證據
給未成年子女買房可以嗎
上一篇:租房要注意的問題
下一篇:合同履行不能是無效合同嗎