一文读懂ISO27701

  1. 引言

隐私暴露,大数据营销杀熟、骚扰信息不断……越来越多的数据泄露与威胁影响全球人类的安宁生活。在此背景下,各个国家、地区纷纷出台相关法律法规,对数据安全与隐私保护相关问题进行严格规范与引导。目前常见的有中国的个人信息保护法、欧盟的GDPR(General Data Protection Regulation)、美国加州的CCPA(California Consumer Privacy Act)等。现阶段,或者以后,隐私保护的重要性将不断强调、不断加强,这不仅仅关系个人,更关系到社会。

  1. ISO27701是什么?

ISO 27001全称《ISO/IEC 27701,安全技术-扩展的ISO/IEC 27001和ISO/IEC 27002-隐私信息管理要求和指南》。ISO 27001是以ISO 27001为基准,以ISO 27552为蓝本,建立了ISO/IEC 27701标准。ISO/IEC 27701是对ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隐私扩展。它是一项国际管理系统标准体系,为保护个人隐私提供指导。ISO/IEC 27701规定了建立、实施、维护和持续改进隐私相关所特定的信息安全管理体系的要求,是保护个人信息的管理体系(PIMS:Privacy Information Management System)。

  1. ISO27701组成?

ISO/IEC 27701全文分为8个章节及6个附录,主要的要求和指导内容集中在第5-8章。

在这里插入图片描述
其中:条款1-4,给出了标准的范围,术语、定义等。

第5章介绍了ISO 27001中延伸出的关于PIMS的扩展要求以及对PIMS的附加要求。

第6章则介绍了ISO 27002中对PIMS的扩展及附加要求。

第5章与第6章的内容对PII控制者和处理者均适用,行文结构和控制域与原标准一致,包含ISO 27002共14个控制域、114个控制项。

第7章为专门针对PII控制者的额外指导内容,共31个控制项。

第8章则为针对PII处理者的额外指导内容,共18个控制项。

第7章与第8章均从PII的收集和处理,对PII主体的义务,Privacy by design & Privacy by default,PII的共享、传输和披露四个方面作出相应规定。

总体而言,标准通过第5章和第6章将ISO 27002与附加的PIMS控制项构成了完整的信息安全和隐私管理体系。第7章和第8章分别针对PII控制者和处理者的控制要求。

附录A是针对PII控制者的PIMS特定的控制目标和控制措施。

附录B是针对PII处理者的PIMS特定的控制目标和控制措施。

附录C给出了标准与ISO/IEC 29100的映射。

附录D是与GDPR的映射。

附录E是与ISO/IEC 27018和ISO/IEC 29151的映射。

附录F则是如何在处理PII时将ISO/IEC 27001和ISO/IEC 27002扩展到隐私保护。

  1. ISO 27701与各标准之间的关系

与各标准间的关系:

在这里插入图片描述

a) ISO 27701是ISO 27001和ISO 27002在隐私方面的扩展。

b) ISO 27002为ISO 27001提供风险处置具体的控制目标和控制措施。

c) ISO 29100、ISO 27018、ISO 29151均为隐私方面的标准,有不同的侧重点,与ISO 27701互为补充。

d) ISO 27001帮助企业建立ISMS,通过有效的风险管理来保护和管理组织的所有信息,从数据安全方面满足GDPR的部分要求。

e) ISO 27701加入了隐私保护的额外要求,更全面地覆盖了GDPR的要求。

  1. ISO 27701 VS ISO 27001 & 27002

本标准基于ISO 27001和ISO 27002,ISO 27701在原有ISMS的流程基础上,着重考虑了对于企业所持有PII(个人可识别身份信息,指 a) 任何可以识别PII主体的信息或 b) 直接或间接与PII主体相关的信息)的隐私保护,ISO 27701嵌套在ISO 27000系列中,并要求符合ISO 27001标准,对ISO 27002实施指南中的隐私性进行了解释和扩展,从PII控制者和PII处理者的角度,补充说明了收集和处理PII的条件、对PII主体的隐私保护义务、Privacy by design 、privacy by default以及PII共享、转移和披露的相关要求。

在应用ISO 27701标准时,除了将原ISO 27001及ISO 27002中的“信息安全”替换为“信息安全和隐私”外,在组织环境与规划方面增加了特定的PIMS的要求补充。

ISO 27002 共14个控制域,每个控制项中包含控制措施、实施指南和其他信息。将所有“信息安全”替换为“信息安全和隐私”后,除了“业务连续性管理的信息安全方面”的控制域,ISO 27701对ISO 27002中控制域中的实施指南和其他信息均有额外的补充,但控制措施均延续ISO 27002的控制措施(仅将“信息安全”替换为“信息安全和隐私”)。

在这里插入图片描述
在这里插入图片描述
6. ISO 27701 VS GDPR

ISO 27701是通用性的国际标准,部分要求通用性的提出应当遵守本地法律法规,无具体规定;GDPR是欧盟经济体范围内的法规要求,有相对具体的规定。ISO 27701 与GDPR在属地、定义、范围覆盖等要求均不同。一个是标准、一个是法规,不能认为通过ISO 27701认证就可以作为表明完全符合GDPR。

如:对于儿童个人数据收集方面的规定,GDPR要求有年龄界定及处理行为只有或至少在获得了该儿童的监护人的同意或授权时才是合法的,ISO 27701要求组织应考虑此类要求并记录同意的机制如何满足这些要求;在向监管机构报告个人数据泄露时,GDPR要求,数据控制者应当自发现之时起72小时内,按照规定将个人数据泄露的情况报告监管机构,ISO 27701要求组织应确保他们能够证明遵守司法辖区规定的法规;GDPR要求,Article 35 数据保护影响评估 (6):此段针对监管机构,规定了在给出数据保护影响评估相关清单时需应用一致性机制的场景,Article 36 事先咨询 (4):数据保护影响评估表明在数据控制者缺乏减轻风险的措施会导致高风险时,数据控制者应当在处理前向监管机构咨询,ISO 27701无此要求。

  1. ISO 27701 VS ISO 29151

ISO 27701基于ISO 27001和ISO 27002的各个领域,从管理体系的角度并遵循PDCA的理念,对个人可识别信息控制者和个人可识别信息处理者进行规范和指导。

ISO/IEC29151是通用的个人隐私保护标准,基于ISO/IEC 27002的各个域中加入了PII的事实指南,同时引入了ISO/IEC 29100十一大隐私保护原则。标准涵盖26个控制域,181条控制措施,充分控制个人身份信息相关的风险和满足影响评估所确定的要求。可以说ISO 27701和ISO 29151都是ISO 29100的细化体现,ISO 27701满足了ISO 29151的要求,并且从体系角度给予了充分的展示与要求。

  1. ISO/IEC 27701实践意义

ISO 27701的目标是通过对于隐私保护的控制实现对ISMS进行补充,使企业建立PIMS,实现有效的隐私管理,从而使企业获益。作为一个国际通用的隐私信息管理工具,能够有效的协助企业对对隐私风险进行识别、分析,采取措施将风险降到可接受水平,建立隐私保护体系,从管理与技术等方面出发,使组织满足监管合规要求。同时,隐私信息管理体系的建设,一定程度上也是企业隐私保护能力的一种体现,能够增强企业与消费者、合作伙伴甚至是监管部门的相互信任。

  1. ISO/IEC 27701详细导图

如下为ISO/IEC 27701详细导图供参考。

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/83203.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

选读SQL经典实例笔记21_字符串处理

1. SQL 并不专门用于处理复杂的字符串 1.1. 需要有逐字遍历字符串的能力。但是,使用SQL 进行这样的操作并不容易 1.2. SQL 没有Loop循环功能 1.2.1. Oracle的MODEL子句除外 2. 遍历字符串 2.1. 把EMP表的ENAME等于KING的字符串拆开来显示为4行,每行…

Observable设计模式简介

Observable设计模式存在于许多Java API和响应式编程中。下面介绍Java中永恒的Observable模式。 Observable设计模式用于许多重要的Java API。一个众所周知的示例是使用ActionListenerAPI执行操作的JButton。在这个例子中,我们ActionListener在按钮上进行了监听或…

测评HTTP代理的透明匿名?

在我们日常的网络冒险中,你是否曾听说过HTTP代理的透明匿名特性?这些神秘的工具就像是网络世界中的隐身斗士,让我们能够在互联网的迷雾中保护自己的身份和隐私。那么,让我们一起揭开HTTP代理的面纱,探索其中的奥秘吧&a…

Grafana技术文档--基本安装-docker安装并挂载数据卷-《十分钟搭建》

阿丹: Prometheus技术文档--基本安装-docker安装并挂载数据卷-《十分钟搭建》_一单成的博客-CSDN博客 在正确安装了Prometheus之后开始使用并安装Grafana作为Prometheus的仪表盘。 一、拉取镜像 搜索可拉取版本 docker search Grafana拉取镜像 docker pull gra…

Python-OpenCV中的图像处理-边缘检测

Python-OpenCV中的图像处理-边缘检测 边缘检测Canny算子 边缘检测Canny算子 Canny 边缘检测是一种非常流行的边缘检测算法,是 John F.Canny 在 1986 年提出的。它是一个有很多步构成的算法:噪声去除、计算图像梯度、非极大值抑制、滞后阀值等。 Canny(i…

TP、TN、FP、FN的理解

TP、TN、FP、FN的理解 理解英文意思: 在第2个单词的基础上理解第1个单词(即第2个单词是前提条件) TP:True Positive 判定为真的(positive),且判定对了(true) TN&…

【算法|数组】双指针

算法|数组——双指针 引入 给你一个按 非递减顺序 排序的整数数组 nums,返回 每个数字的平方 组成的新数组,要求也按 非递减顺序 排序。 示例 1: 输入:nums [-4,-1,0,3,10] 输出:[0,1,9,16,100] 解释:…

Python Pandas 使用示例

文章目录 使用Boolean 选择rows读取Excel表格里指定的sheet, 并跳过起始n行删除只有一个元素的行删除重复的合并多个csv文件到excel表格中获取csv文件的数据 使用Boolean 选择rows import pandas as pd# Sample DataFrame data {Name: [John, Alice, Bob, Emily],Age: [25, 3…

扫雷(超详解+全部码源)

C语言经典游戏扫雷 前言一.游戏规则二.所需文件三.创建菜单四.游戏核心内容实现1.创建棋盘2.打印棋盘3.布置雷4.排查雷5.game()函数具体实现 五.游戏运行实操六.全部码源 前言 😀C语言实现扫雷是对基础代码能力的考察。通过本篇文章你将学会如何制作出扫雷&#xff…

centos linux 安装RDMA Soft-RoCE|虚拟机安装Soft-RoCE

什么是Soft-RoCE softRoCE的目标是在所有支持以太网的设备上都可以部署RDMA传输,可以使不具备RoCE能力的硬件和支持RoCE的硬件间进行基于IB语义的交流。 大白话就是模拟RDMA的软件栈,使得在没有RDMA网卡的环境上,也可以运行基于RDMA写的传输…

Java-数据类型

数据类型 数据类型基本数据类型整形浮点字符型布尔类字节 引用数据类型类型转换显式转换隐式转换注意事项 整型提升 作为学习Java的入门知识,在刚开始面试的几场,表现不太好的时候,就有几个面试官会问这个问题,估计此时此刻我在他们的心目中也就是这个问题的层次了吧…当然,当时…

Leetcode-每日一题【剑指 Offer 15. 二进制中1的个数】

题目 编写一个函数,输入是一个无符号整数(以二进制串的形式),返回其二进制表达式中数字位数为 1 的个数(也被称为 汉明重量).)。 提示: 请注意,在某些语言(如 Java&…

postgresql|数据库|角色(用户)管理工作---授权和去权以及usage和select两种权限的区别

前言: postgresql做为一个比较复杂的关系型的重型数据库,不管是安装部署,还是后期的运行维护,都还是有比较多的细节问题需要引起关注。 例如,用户权限的合理分配,那么,什么是权限的合理分配呢…

详解推送Git分支时发生的 cannot lock ref 错误

在码云上建了一个项目仓库,分支模型使用 git-flow ,并在本地新建了一个功能分支 feature/feature-poll。后来在推送时发生错误,提示 cannot lock ref ...... 这样的错误信息。下面复盘一下具体过程和解决办法,以供参考。 在码云中建立仓库时,考虑到想按照 GitFlow 的模式…

Python数据分析实战-格式化字符串的两种方法(附源码和实现效果)

实现功能 格式化字符串的两种方法 实现代码 # 方法一&#xff1a;format方法 query SELECT customer_id, COUNT(*) as num_ordersFROM ordersWHERE date > {start_date} AND date < {end_date} GROUP BY customer_idHAVING num_orders > {min_orders} start_da…

软件安全测试包含哪些内容和方法?安全测试报告的必要性

软件安全测试是一种通过模拟真实攻击的方式&#xff0c;对软件系统进行全面的安全性评估和测试&#xff0c;以发现潜在的安全漏洞和弱点&#xff0c;是确保软件系统安全性的重要措施。在进行软件安全测试时&#xff0c;我们需要了解测试的内容和方法&#xff0c;以及为什么进行…

echarts 图表设置 滚动条

效果图&#xff1a; 代码实现&#xff1a; 第一种方式&#xff1a; 通过 dataZoom 属性缩放进行配置滚动条。 //给x轴设置滚动条 dataZoom: [{start:0,//默认为0end: 100-1500/31,//默认为100type: slider,show: true,xAxisIndex: [0],handleSize: 0,//滑动条的 左右2个滑…

Mysql的instr()函数用法详解

最近接手了一个大型老项目&#xff0c;用到的jfinal技术&#xff0c;后端大部分都是拼写的sql&#xff0c;对一些sql函数不太理解的我算是一个挑战&#xff0c;也是一个进步的很大空间。 今天来说下instr这个函数 首先看下我们的表数据 我们先执行&#xff1a; SELECT * fro…

《Linux运维实战:Docker基础总结》

一、简介 1、docker的基本结构是什么&#xff0c;包含哪些组件&#xff1f; docker的基本机构是c/s模式&#xff0c;即客户端/服务端模式。 由docker客户端和docker守护进程组成。docker客户端通过命令行或其它工具使用docker sdk与docker守护进程通信&#xff0c;发送容器管理…

Qt 6. 其他类调用Ui中的控件

1. 把主类指针this传给其他类&#xff0c;tcpClientSocket new TcpClient(this); //ex2.cpp #include "ex2.h" #include "ui_ex2.h"Ex2::Ex2(QWidget *parent): QDialog(parent), ui(new Ui::Ex2) {ui->setupUi(this);tcpClientSocket new TcpClient…