一问一答什么是ISO27701隐私信息管理体系.pdfVIP

⼀问⼀答什么是ISO27701隐私信息管理体系 QISO27701是什么？ ISO/IEC 27701是国际标准化组织发布的隐私信息管理体系标准，全称 《安全技 —扩展ISO/IEC 27001和ISO/IEC 27002的隐私信息管理—要求与指南》。 该标准基于PII相关组织和利益相关⽅要求；明确隐私影响评估的要求；针对组织作为PII控制者/PII处理者等组织⾓⾊， 形成PIMS （隐私信息管理体系）。 该标准适⽤于所有类型和规模的组织，包括公共和私营公司、政府机构和⾮盈利组织。 QISO27701产⽣的背景是什么？ 2018年欧盟GDPR⽣效，就提出了以第三⽅认证作为数据 （特别是个⼈数据）传输的基础，但并未明确采信哪个标准。 实际上包括GDPR在内，各国与隐私相关的法律不尽相同，加州法案，以及澳⼤利亚或⽇本等国家都有⾃⼰的法律，我 国的 《个⼈信息保护法》也于11⽉1⽇⽣效。因此，当前急需⼀种国际通⾏的隐私管理标准。 2021年，欧盟对第三⽅认证的要求做出了司法解释，其采信的第三⽅认证需由监管机构认可或国家认可机构认可。国家 认可机构认可制度实际是IA F国际认可论坛围绕ISO相关标准确⽴的认可机制。ISO27701标准的推出，很⼤程度上可以 满⾜各国相关隐私保护法律法规的要求。 Q国际和国内关于隐私保护的主要法律法规有哪些? 国内与隐私保护相关的法律法规包括： 《中华⼈民共和国⽹络安全法》、 《中华⼈民共和国数据安全法》和 《中华⼈民 共和国个⼈信息保护法》等。 国际上与隐私保护相关的法律法规包括a美国： 《隐私权法》、 《电⼦通讯隐私法》、 《⾦融服务现代化法案》、 《⼉ 童在线隐私权保护法案》、 《健康保险携带和责任法》和 《有效保护隐私权的⾃律规范》等；b欧盟:GDPR、 《关于在 个⼈数据处理过程中保护当事⼈及此类数据⾃由流通的指令》等；c ⽇本： 《个⼈信息保护法》等；d加拿⼤： 《隐私 法》和 《个⼈信息保护与电⼦⽂件法》等；e国际交流：OECD 《关于保护隐私和个⼈数据国际流通的指南》和 《A PEC隐私保护框架》等。 QISO27701与其他标准的关系如何？ ISO/IEC 27701的框架基于ISO/IEC 27001，同样遵循了ISO的管理体系标准⾼层结构HLS，故与其它ISO标准有良好的 兼容性，便于组织实施整合的管理体系。同时，作为ISO标准中尾数为01的要求类标准，其有助于构建持续改进的管理 框架。 QISO27701的核⼼ 语PII、PII控制者和PII处理者是什么含义？ PII：个⼈可识别信息 Per onally identifiable information (PII)注：也译作个⼈⾝份信息 （a） 可⽤于识别此类信息相关 的 PII 主体的任何信息； （b） 直接或间接链接到 PII 主体的信息； PII控制者：确定处理个⼈可识别信息 （PII） 的⽬的和⼿段隐私利益相关者 （或隐私利益相关者们），但不包括出于个 ⼈⽬的使⽤数据的⾃然⼈； PII处理者：代表并按照 PII 控制者的说明处理个⼈可识别信息 （PII） 的隐私利益相关者。 QISO27701适合于哪些组织？ ISO/IEC 27701适⽤于所有组织，⽆论其规模、⾏业或业务性质如何。 Q实施ISO27701有什么价值？ 隐私信息管理体系提供了⼀套⼀致的隐私实践 （即控制），可以根据任何隐私法进⾏映射。实施ISO27701可以提⾼组 隐私信息管理体系提供了⼀套⼀致的隐私实践 （即控制），可以根据任何隐私法进⾏映射。实施ISO27701可以提⾼组 织管理数据安全和隐私风险的能⼒，同时减轻组织合规负担、降低组织合规风险，帮助企业提供尽职证明，传达可信 度，获得更多业务机会。 Q组织申请ISO27701有什么前提？ 正式认证前，组织应已建⽴同时满⾜ISO/IEC27001标准的信息安全管理体系及ISO/IEC 27701标准的隐私信息管理体 系，且体系运⾏时间需不少于三个⽉。 QISO27701标准的架构如何？ ISO/IEC 27701标准第1章到⾄第4章，给出了标准的范围、引⽤⽂件、 语和定义以及总则。 标准管理要求分布在第5章⾄第8章，其中第5章为ISO/IEC 27001的要求关于PII相关的扩展，第6章为ISO/IEC 27002的 要求关于PII相关的扩展，第7章为针对PII控制者⾓⾊的管理要求，第8章为针对PII处理者⾓⾊的管理要求。 附录A-F给出了特定的控制⽬标与控制措施以及与其他标准和法规的映射关系。 Q实施ISO27701需要组织的哪些部门参