免费av网站在线看,欧美肥妇片,亚洲影视一区二区

企業(yè)為什么要進(jìn)行ISO27701認(rèn)證？

發(fā)布時(shí)間：2020-12-23 作者：廣匯聯(lián)合來(lái)源：廣匯聯(lián)合

當(dāng)前日益受到監(jiān)管的安全和隱私格局以及對(duì)企業(yè)的網(wǎng)絡(luò)攻擊的急劇增加，無(wú)論規(guī)模大小，都應(yīng)僅鼓勵(lì)組織采用國(guó)際框架例如ISO27001和ISO27701。

通過(guò)對(duì)ISO27001的認(rèn)證，組織可以證明其已采取適當(dāng)措施來(lái)履行其法律和法規(guī)義務(wù)，以減少和管理數(shù)據(jù)安全風(fēng)險(xiǎn)。

什么是ISO27701？

2019年8月6日，國(guó)際標(biāo)準(zhǔn)化組織（ISO）和國(guó)際電工委員會(huì)（IEC）發(fā)布了ISO/IEC27701（ISO27701），這是ISO / IEC27001和ISO/IEC27002的隱私擴(kuò)展，旨在幫助組織保護(hù)和控制他們處理的個(gè)人信息。類似于現(xiàn)有的ISO標(biāo)準(zhǔn)ISO 27701補(bǔ)充，此新的ISO標(biāo)準(zhǔn)可能成為組織保護(hù)個(gè)人身份信息（PII）的事實(shí)上的護(hù)理標(biāo)準(zhǔn)，并且可以用來(lái)證明其遵守全球隱私法規(guī)，包括通用數(shù)據(jù)保護(hù)法規(guī)（EU）2016/679（GDPR）。

這一新標(biāo)準(zhǔn)是實(shí)現(xiàn)安全合規(guī)的“錦上添花”。眾所周知的ISO27001構(gòu)成了基礎(chǔ)，而新的ISO27701則在此基礎(chǔ)上進(jìn)行了構(gòu)建，以提供一套全面的信息安全和個(gè)人信息保護(hù)控制措施。

ISO27701最初開發(fā)為ISO/IEC27552，它為建立，實(shí)施，維護(hù)和持續(xù)改進(jìn)隱私信息管理系統(tǒng)（PIMS）提供了特定要求和指導(dǎo)，作為對(duì)ISO27001中定義的靈活信息安全管理系統(tǒng)（ISMS）的擴(kuò)展。除了信息安全之外，還應(yīng)考慮到處理PII所需的隱私保護(hù)。像ISO27001標(biāo)準(zhǔn)一樣，ISO27701并不希望組織在所有情況下都采用每種控件。相反它要求組織了解處理PII的特定上下文，并以適合其處理活動(dòng)的方式調(diào)整特定的控件集以及這些控件的相關(guān)實(shí)現(xiàn)。

為了更好地理解新標(biāo)準(zhǔn)，應(yīng)該理解兩個(gè)關(guān)鍵術(shù)語(yǔ)：控制器和處理器。這些術(shù)語(yǔ)可在包括GDPR在內(nèi)的許多隱私法律和法規(guī)中找到。通常“控制者”是指示首先收集和處理PII的原因的實(shí)體，“處理者”是負(fù)責(zé)代表該個(gè)人處理此類數(shù)據(jù)的獨(dú)立法律實(shí)體（即，不是雇員）控制器。

新發(fā)布的標(biāo)準(zhǔn)既適用于PII的控制器（以及聯(lián)合控制器），也適用于PII的處理器（包括子處理器），而不管其運(yùn)營(yíng)所在的管轄區(qū)和部門如何，并且還包括對(duì)GDPR和ISO/IEC的映射29100，ISO/IEC27018和ISO/IEC29151安全框架。應(yīng)預(yù)料到將ISO27701要求映射到其他隱私法律，例如2018年《加利福尼亞消費(fèi)者隱私法案》（CCPA），GLBA和HIPAA，并將通過(guò)提供證明遵守這些監(jiān)管制度的通用標(biāo)準(zhǔn)來(lái)幫助組織。

下面提供了適用于控制器和處理器的某些關(guān)鍵ISO27701關(guān)鍵要求的高級(jí)概述。

適用于控制器和處理器的要求

機(jī)密性:被授權(quán)訪問(wèn)PII的個(gè)人必須簽署保密協(xié)議。

分析風(fēng)險(xiǎn):必須進(jìn)行隱私風(fēng)險(xiǎn)評(píng)估以識(shí)別PII處理風(fēng)險(xiǎn)。

監(jiān)督:組織必須任命一個(gè)負(fù)責(zé)制定，實(shí)施，維護(hù)和監(jiān)視其治理和隱私計(jì)劃的人員。

培訓(xùn):需要對(duì)有權(quán)使用PII的人員進(jìn)行隱私意識(shí)培訓(xùn)。

內(nèi)部流程:組織必須采用各種政策和程序，例如針對(duì)違反PII的事件響應(yīng)計(jì)劃。

保持記錄:ISO27701要求組織保留所有PII處理活動(dòng)的記錄，包括管轄區(qū)之間的PII轉(zhuǎn)移和向第三方的披露。

控制器特定要求

隱私權(quán)聲明:組織必須提供隱私政策，其中包含有關(guān)PII收集，使用和處理的特定信息。

處理器合同要求:組織必須與處理者簽訂書面合同，處理特定項(xiàng)目，例如保護(hù)PII，將處理限制為收集PII的特定目的，并提供違反PII的通知。

個(gè)人權(quán)利:ISO27701要求組織實(shí)施各種機(jī)制，以容納個(gè)人訪問(wèn)，更正和刪除其PII的權(quán)利，以及反對(duì)或限制PII的處理等。

設(shè)計(jì)和默認(rèn)情況下的隱私:組織必須采取措施，通過(guò)設(shè)計(jì)使隱私原則和默認(rèn)情況下的隱私原則付諸實(shí)踐。

處理器特定要求

加工限制:組織必須僅根據(jù)控制器或處理器的書面說(shuō)明來(lái)處理PII（取決于客戶的角色）

協(xié)助個(gè)人權(quán)利:ISO27701要求加工商采取措施，協(xié)助客戶遵守個(gè)人權(quán)利。

轉(zhuǎn)讓和披露:加工商必須提前將司法管轄區(qū)之間的PII轉(zhuǎn)移或其任何預(yù)期變更告知客戶。

分包商:ISO 27701要求處理器僅根據(jù)客戶合同的條款委聘分包商處理PII。

如您想更詳細(xì)的了解ISO27701標(biāo)準(zhǔn)，需要ISO27701標(biāo)準(zhǔn)，請(qǐng)您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。

艳后荒淫史h版电影_久久精品视频免费看_又色又爽又黄又刺激免费_国产一区二区免费_日韩三级在线免费_av大帝天堂_成年人在线观看av_jizz日本老师水多_一级片一级片_国产a小视频

企業(yè)為什么要進(jìn)行ISO27701認(rèn)證？