一文读懂ISO27701

news2024/12/24 8:27:41
  1. 引言

隐私暴露,大数据营销杀熟、骚扰信息不断……越来越多的数据泄露与威胁影响全球人类的安宁生活。在此背景下,各个国家、地区纷纷出台相关法律法规,对数据安全与隐私保护相关问题进行严格规范与引导。目前常见的有中国的个人信息保护法、欧盟的GDPR(General Data Protection Regulation)、美国加州的CCPA(California Consumer Privacy Act)等。现阶段,或者以后,隐私保护的重要性将不断强调、不断加强,这不仅仅关系个人,更关系到社会。

  1. ISO27701是什么?

ISO 27001全称《ISO/IEC 27701,安全技术-扩展的ISO/IEC 27001和ISO/IEC 27002-隐私信息管理要求和指南》。ISO 27001是以ISO 27001为基准,以ISO 27552为蓝本,建立了ISO/IEC 27701标准。ISO/IEC 27701是对ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隐私扩展。它是一项国际管理系统标准体系,为保护个人隐私提供指导。ISO/IEC 27701规定了建立、实施、维护和持续改进隐私相关所特定的信息安全管理体系的要求,是保护个人信息的管理体系(PIMS:Privacy Information Management System)。

  1. ISO27701组成?

ISO/IEC 27701全文分为8个章节及6个附录,主要的要求和指导内容集中在第5-8章。

在这里插入图片描述
其中:条款1-4,给出了标准的范围,术语、定义等。

第5章介绍了ISO 27001中延伸出的关于PIMS的扩展要求以及对PIMS的附加要求。

第6章则介绍了ISO 27002中对PIMS的扩展及附加要求。

第5章与第6章的内容对PII控制者和处理者均适用,行文结构和控制域与原标准一致,包含ISO 27002共14个控制域、114个控制项。

第7章为专门针对PII控制者的额外指导内容,共31个控制项。

第8章则为针对PII处理者的额外指导内容,共18个控制项。

第7章与第8章均从PII的收集和处理,对PII主体的义务,Privacy by design & Privacy by default,PII的共享、传输和披露四个方面作出相应规定。

总体而言,标准通过第5章和第6章将ISO 27002与附加的PIMS控制项构成了完整的信息安全和隐私管理体系。第7章和第8章分别针对PII控制者和处理者的控制要求。

附录A是针对PII控制者的PIMS特定的控制目标和控制措施。

附录B是针对PII处理者的PIMS特定的控制目标和控制措施。

附录C给出了标准与ISO/IEC 29100的映射。

附录D是与GDPR的映射。

附录E是与ISO/IEC 27018和ISO/IEC 29151的映射。

附录F则是如何在处理PII时将ISO/IEC 27001和ISO/IEC 27002扩展到隐私保护。

  1. ISO 27701与各标准之间的关系

与各标准间的关系:

在这里插入图片描述

a) ISO 27701是ISO 27001和ISO 27002在隐私方面的扩展。

b) ISO 27002为ISO 27001提供风险处置具体的控制目标和控制措施。

c) ISO 29100、ISO 27018、ISO 29151均为隐私方面的标准,有不同的侧重点,与ISO 27701互为补充。

d) ISO 27001帮助企业建立ISMS,通过有效的风险管理来保护和管理组织的所有信息,从数据安全方面满足GDPR的部分要求。

e) ISO 27701加入了隐私保护的额外要求,更全面地覆盖了GDPR的要求。

  1. ISO 27701 VS ISO 27001 & 27002

本标准基于ISO 27001和ISO 27002,ISO 27701在原有ISMS的流程基础上,着重考虑了对于企业所持有PII(个人可识别身份信息,指 a) 任何可以识别PII主体的信息或 b) 直接或间接与PII主体相关的信息)的隐私保护,ISO 27701嵌套在ISO 27000系列中,并要求符合ISO 27001标准,对ISO 27002实施指南中的隐私性进行了解释和扩展,从PII控制者和PII处理者的角度,补充说明了收集和处理PII的条件、对PII主体的隐私保护义务、Privacy by design 、privacy by default以及PII共享、转移和披露的相关要求。

在应用ISO 27701标准时,除了将原ISO 27001及ISO 27002中的“信息安全”替换为“信息安全和隐私”外,在组织环境与规划方面增加了特定的PIMS的要求补充。

ISO 27002 共14个控制域,每个控制项中包含控制措施、实施指南和其他信息。将所有“信息安全”替换为“信息安全和隐私”后,除了“业务连续性管理的信息安全方面”的控制域,ISO 27701对ISO 27002中控制域中的实施指南和其他信息均有额外的补充,但控制措施均延续ISO 27002的控制措施(仅将“信息安全”替换为“信息安全和隐私”)。

在这里插入图片描述
在这里插入图片描述
6. ISO 27701 VS GDPR

ISO 27701是通用性的国际标准,部分要求通用性的提出应当遵守本地法律法规,无具体规定;GDPR是欧盟经济体范围内的法规要求,有相对具体的规定。ISO 27701 与GDPR在属地、定义、范围覆盖等要求均不同。一个是标准、一个是法规,不能认为通过ISO 27701认证就可以作为表明完全符合GDPR。

如:对于儿童个人数据收集方面的规定,GDPR要求有年龄界定及处理行为只有或至少在获得了该儿童的监护人的同意或授权时才是合法的,ISO 27701要求组织应考虑此类要求并记录同意的机制如何满足这些要求;在向监管机构报告个人数据泄露时,GDPR要求,数据控制者应当自发现之时起72小时内,按照规定将个人数据泄露的情况报告监管机构,ISO 27701要求组织应确保他们能够证明遵守司法辖区规定的法规;GDPR要求,Article 35 数据保护影响评估 (6):此段针对监管机构,规定了在给出数据保护影响评估相关清单时需应用一致性机制的场景,Article 36 事先咨询 (4):数据保护影响评估表明在数据控制者缺乏减轻风险的措施会导致高风险时,数据控制者应当在处理前向监管机构咨询,ISO 27701无此要求。

  1. ISO 27701 VS ISO 29151

ISO 27701基于ISO 27001和ISO 27002的各个领域,从管理体系的角度并遵循PDCA的理念,对个人可识别信息控制者和个人可识别信息处理者进行规范和指导。

ISO/IEC29151是通用的个人隐私保护标准,基于ISO/IEC 27002的各个域中加入了PII的事实指南,同时引入了ISO/IEC 29100十一大隐私保护原则。标准涵盖26个控制域,181条控制措施,充分控制个人身份信息相关的风险和满足影响评估所确定的要求。可以说ISO 27701和ISO 29151都是ISO 29100的细化体现,ISO 27701满足了ISO 29151的要求,并且从体系角度给予了充分的展示与要求。

  1. ISO/IEC 27701实践意义

ISO 27701的目标是通过对于隐私保护的控制实现对ISMS进行补充,使企业建立PIMS,实现有效的隐私管理,从而使企业获益。作为一个国际通用的隐私信息管理工具,能够有效的协助企业对对隐私风险进行识别、分析,采取措施将风险降到可接受水平,建立隐私保护体系,从管理与技术等方面出发,使组织满足监管合规要求。同时,隐私信息管理体系的建设,一定程度上也是企业隐私保护能力的一种体现,能够增强企业与消费者、合作伙伴甚至是监管部门的相互信任。

  1. ISO/IEC 27701详细导图

如下为ISO/IEC 27701详细导图供参考。

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/856435.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Three.js 设置模型材质纹理贴图和修改材质颜色,材质透明度,材质网格

相关API的使用: 1 traverse (模型循环遍历方法) 2. THREE.TextureLoader(用于加载和处理图片纹理) 3. THREE.MeshLambertMaterial(用于创建材质) 4. getObjectByProperty(通过材…

[保研/考研机试] KY180 堆栈的使用 吉林大学复试上机题 C++实现

题目链接: 堆栈的使用_牛客题霸_牛客网 描述 堆栈是一种基本的数据结构。堆栈具有两种基本操作方式,push 和 pop。其中 push一个值会将其压入栈顶,而 pop 则会将栈顶的值弹出。现在我们就来验证一下堆栈的使用。 输入描述: 对于…

Flink窗口分类简介及示例代码

水善利万物而不争,处众人之所恶,故几于道💦 文章目录 1. 流式计算2. 窗口3. 窗口的分类◆ 基于时间的窗口(时间驱动)1) 滚动窗口(Tumbling Windows)2) 滑动窗口(Sliding Windows&…

发现 Kubernetes 集群受到攻击

Aqua Security 的研究团队 Aqua Nautilus 发现数百个组织的 Kubernetes 集群受到攻击。 这位云原生安全专家宣布,一项为期三个月的调查显示,属于 350 多个组织、开源项目和个人的 Kubernetes 集群可公开访问且不受保护。 一个值得注意的集群子集与大型…

交流有效值,峰值和平均值关系

1,交流有效值,峰值和平均值关系: 2,根据负载,确定变压器满载时的输出电压: 1),为了使稳压芯片MIC29302输出4V,LDO压差 0.4V,整流桥压降为1V, 则…

新品发布会上出现国风数字人?写实数字人定制技术助推品牌引领年轻消费市场潮流

在小牧优品新品发布会上推出首位国风数字人潇沐,这是为了让年轻化、时尚化品牌特质更加呈现出来,聚焦年轻消费市场的一大战略。品牌结合虚拟形象3d建模技术,打造出符合品牌专属数字人,并且结合了动作捕捉技术打破行业交流壁垒&…

深度优先搜索与动态规划|543, 124, 687

深度优先搜索与动态规划|543. 二叉树的直径,124. 二叉树中的最大路径和,687. 最长同值路径 二叉树的直径二叉树中的最大路径和最长同值路径 二叉树的直径 好久没写二叉树了,主要还是看遍历的顺序是什么样的。 # Definition for a binary tr…

模拟出栈的所有顺序(dfs+回溯)

题目: 已知某一个字母序列,把序列中的字母按出现顺序压入一个栈,在入栈的任意过程中,允许栈中的字母出栈,求所有可能的出栈顺序 示例: 输入abc 输出abc、acb、bac、bca、cba 代码如下 #define _CRT_SECURE…

人工智能术语翻译(六)

文章目录 摘要UVWXYZ 摘要 人工智能术语翻译第六部分,包括U、V、W、X、Y、Z开头的词汇! U 英文术语中文翻译常用缩写备注Ugly Duckling Theorem丑小鸭定理Unbiased无偏Unbiased Estimate无偏估计Unbiased Sample Variance无偏样本方差Unconstrained …

微服务与Nacos概述-2

微服务间消息传递 微服务是一种软件开发架构,它将一个大型应用程序拆分为一系列小型、独立的服务。每个服务都可以独立开发、部署和扩展,并通过轻量级的通信机制进行交互。 应用开发 common模块中包含服务提供者和服务消费者共享的内容 provider模块是…

【数学】CF1796 C

Problem - 1796C - Codeforces 题意&#xff1a; 思路&#xff1a; 模拟一下样例可以发现一些规律 Code&#xff1a; #include <bits/stdc.h>#define int long longusing i64 long long;constexpr int N 1e6 10; constexpr int mod 998244353;void solve() {int l…

搭建 Java 部署环境

yum 认识 yum yum(Yellow dog Updater, Modified)是Linux下非常常用的一种包管理器. 主要应用在Fedora, RedHat, Centos等发行版上. 包管理器就好比 "应用商店", 我们可以在应用商店上下载一些 app. yum 起到的功能和 Maven 的依赖管理功能类似. 使用 Maven 能帮…

kubernetes pod 资源限制 探针

资源限制 当定义 Pod 时可以选择性地为每个容器设定所需要的资源数量。 最常见的可设定资源是 CPU 和内存大小&#xff0c;以及其他类型的资源。 当为 Pod 中的容器指定了 request 资源时&#xff0c;代表容器运行所需的最小资源量&#xff0c;调度器就使用该信息来决定将 Pod …

JS逆向系列之猿人学爬虫第8题-验证码-图文点选

题目地址 https://match.yuanrenxue.cn/match/8本题的难点就在于验证码的识别,没啥js加密,只要识别对了携带坐标就给返回数据 回过头来看验证码 这里复杂的字体比较多,人看起来都有点费劲(感觉可能对红绿色盲朋友不太又好)&#x

为什么说Java是值传递?

值传递、引用传递 首要我们需要明确什么是值传递、什么是引用传递。 值传递&#xff1a;形参接收的是实参的拷贝&#xff08;副本&#xff09;。因此对形参的修改&#xff0c;不一定会影响实参。引用传递&#xff1a;形参接收的是实参本身&#xff0c;不会创建副本。因此对形…

flutter 手写日历组件

先看效果 直接上代码 calendar_popup_view.dart import package:flutter/material.dart; import package:intl/intl.dart;import custom_calendar.dart; import hotel_app_theme.dart;class CalendarPopupView extends StatefulWidget {const CalendarPopupView({required th…

翻出了我当时学习的笔记来了html

php&#xff1a;高级语言 web应用程序 万维网 浏览器中查看 apache&#xff1a;服务器 mysql&#xff1a;数据库 html 标签 css&#xff1a;层叠样式表 javascript&#xff1a;客户端脚本 js jquery mysql数据库基础 php语法基础 面向对象&#xff08;物件&#xff09; smar…

WebRTC | 实现数据流的一对一通信

目录 一、浏览器对WebRTC的支持 二、MediaStream与MediaStreamTrack 三、RTCPeerConnection 1. RTCPeerConnection与本地音视频数据绑定 2. 媒体协商SDP 3. ICE &#xff08;1&#xff09;Candidate信息 &#xff08;2&#xff09;WebRTC收集Candidate &#xff08;3&…

LOTO示波器实测过压保护芯片LP5300工作效果

过压保护电路是电子产品设置中经常要用到的&#xff0c;以前都是用分立元件搭的各种经典电路&#xff0c;最近LOTO虚拟示波器客户推荐了一款很便宜的集成的过压保护芯片LP5300&#xff0c;体积很小&#xff0c;使用简单&#xff0c;外接两个电容就可以了&#xff0c;下图是它的…

linux自定义网络访问规则

1.更改防火墙默认区域为trusted firewall-cmd --set-default-zonetrusted 2.新建一个zone&#xff0c;将想要访问本机80端口的ip&#xff0c;如&#xff1a;192.168.3.99 &#xff0c;添加的这个zone中&#xff0c;同时在这个zone中放行80端口。 firewall-cmd --permanent --ne…