ISO/IEC 27701標準的發(fā)布,填補了目前隱私信息管理體系的空白,將隱私保護的原則、理念和方法,融入到信息安全保護體系中,并且對PII控制者和PII處理者進行了較為詳細且落地性強的規(guī)定,給企業(yè)在隱私保護和信息安全方面給出了指導建議。
ISO/IEC 27701該標準為企業(yè)和其他組織提供了一個國際通用的的隱私信息管理工具,對于降低企業(yè)隱私合規(guī)難度,便利企業(yè)提供合規(guī)證明,増強社會各方對企業(yè)的信任程度具有重要意義。實施隱私信息管理,至少獲得如下收益:
1)合規(guī)。通過明確對PII處理者的隱私保護要求,可以明確隱私保護管理合規(guī)目標,減輕組織合規(guī)負擔的同時降低組織合規(guī)風險,ISO27701標準附錄D中明確表示,單個隱私控制點可以滿足GDPR中的多項要求。滿足了ISO27701標準也就意味著基本滿足GDPR的要求,而GDPR是眾多隱私保護法規(guī)中最為嚴格的,也就意味著滿足了即將頒布的《隱私保護法》的系列要求。
2)完善數(shù)據(jù)安全能力和風險管理。實現(xiàn)持續(xù)的完善產(chǎn)品的非功能性要求,進而展示出產(chǎn)品在處理個人隱私安全、安全治理的績效,通過流程分析,在流程的輸入、輸出、控制過程中,識別、分析、驗證隱私保護需求、傳遞隱私保護價值,減少甚至消除隱私泄露的風瞼,如:體現(xiàn)為采用隱私控制技術(shù)(如日志脫敏、數(shù)據(jù)庫加密)、產(chǎn)品架構(gòu)(如加密芯片)、技術(shù)路徑(如完整性校驗)等。
3)PIMS認證可以傳遞信任。客戶或合作伙伴,尤其是政府組織、金融機構(gòu)作為承擔隱私風險的機構(gòu),通常會要求PII處理者提供相關(guān)證據(jù)(如PIA分析報告),從而證明PII處理者的產(chǎn)品能符合適用的隱私管理體系要求。通過得到授權(quán)的第三方機構(gòu)對PII處理者進行基于國際標準的審核,可以極大地降低合規(guī)溝通成本,這種合規(guī)透明度的提高對于組織戰(zhàn)略和業(yè)務決策至關(guān)重要,同時PIMS認證也有助于向公眾傳達組織的可信度。
010-62988938