ISO/IEC 27701:2019 隱私保護標準
ISO/IEC 27701(草擬時期稱為 ISO/IEC 27552)在 ISO/IEC 27001的架構下進行隱私保護管控,可以視為在 ISO 27001的要求下進行擴展,不論組織型態、規模都可以適用此隱私資訊管理系統(PIMS)。
ISO/IEC 27701 以 ISO/IEC 27001的要求出發,在原有的 PDCA架構上納入組織對於所取得的 PII(個人可識別資訊)之隱私保護,並且在 ISO/IEC 27002(資訊科技-安全技術-資訊安全管理作業法規)之實施指引中增加對於 PII隱私保護的規範(營運持續管理除外)。ISO 輔導
ISO/IEC 27701:2019 隱私標準條款
條款章節 | 標題 |
條款1~條款3 | 範圍、參考規範及名詞解釋。 |
條款4 | 一般要求。 |
條款5 | 以 ISO/IEC 27001本文的高階架構,擴展到對隱私保護規範。 |
條款6 | 以 ISO/IEC 27002的實作指引,擴展到對隱私保護規範。 |
條款7章及條款8 | 針對 PII 控制者及 PII 處理者在 ISO 27002的額外控制指引。例如個資蒐集及處理的限制、 PII 最小化目標及 PII 去識別化及刪除等要求。(詳見附錄A及附錄B) |
附錄A | PIMS控制目標及控制措施 (對 PII 控制者) |
附錄B | PIMS控制目標及控制措施 (對 PII 處理者) |
附錄C | 與 ISO/IEC 29100的對應關係 |
附錄D | 與 GDPR的對應關係 |
附錄E | 與 ISO/IEC 27018及 ISO/IEC 29151的對應關係 |
附錄F | 如何將 ISO/IEC 27701運用於 ISO/IEC 27001及 ISO/IEC 27002 |
章節架構介紹
ISO/IEC 27701全文共包括了 8個條款,並於附錄 A~F中補充 PII控制者及 PII處理者可作為參考的控制目標及控制措施,提供欲遵循 GDPR規範的組織做為參考,且內容提供可對應到 ISO/IEC 29011、GDPR、ISO/IEC 27018、ISO/IEC 29151的條款號碼,可以理解到 ISO/IEC 27701是參酌了許多隱私規範的標準。
國際隱私保護標準之趨勢
全球個資隱私保護趨勢浪潮下,個資隱私保護法規在各國陸續推出,例如美國的 CCPA、中國的網安法、數據管理辦法以及歐盟 GDPR。當中以對於全球隱私保護不遺餘力的歐盟在 2018年所施行的一般資料保護規範(GDPR)最受矚目,是各國在制定隱私規範的主要參考之一。
ISO/IEC 27701 隱私保護標準
GDPR 將「個人資料」範圍擴大解釋,只要能直接或間接篩選、識別出特定對象資訊之資料類型,例如網路識別碼(網路瀏覽器 Cookies、網路 IP位址)或足以辨識特定個人身分或性別之基因、 生物特徵或醫療資料等,都歸屬個人資料。
於 2019年發佈的 ISO/IEC 27701隱私資訊管理系統,具體考量了 GDPR之相關要求及 ISO 29100等國際標準所制定的隱私保護規範,可更完整的涵蓋 GDPR要求。由於該標準延伸自 ISO/IEC 27001及 ISO/IEC 27002,是能同時兼顧國際標準架構的要求(requirements)與實作指引(guideline),在 ISO/IEC 27001之驗證範圍中完整納入對於隱私保護的相關管控措施。
因此,通過 ISO/IEC 27701認證,企業在整合資安及隱私管控措施上將更加完整,有助於客戶對於我方在資安及隱私方面更加信任的好處。ISO 輔導
資料控制者/資料處理者之義務
考量科技發展水平、執行成本、個資處理之性質、範圍、目的、以及潛在風險,及對於當事人權利之影響,條款7及條款8分別針對資料控制者及以及資料處理者所應執行適當之技術性以及管理性之安全措施提供指引,是基於條款6在 ISO/IEC 27002標準的額外控制,主要規範包含如下:
- 維護資訊安全義務
- 隱私設計及隱私預設 (例如:最小化蒐集、去識別化)
- 處理 PII之相關紀錄
- 隱私衝擊評估 (PIA)
▲ PII控制者與PII處理者定義
各國個資保護法令趨嚴「保護個資」是最基本
ISO/IEC 27701參酌 ISO/IEC 29011、GDPR、ISO/IEC 27018、ISO/IEC 29151,通過 ISO/IEC 27701可幫助組織在不同法令規範下達成合法處理個人資料之國際規範,取得個資主體之同意及遵循法律義務要求外,也能幫助組織取得客戶、政府機關之信任。
申辦 ISO/IEC 27701 隱私保護標準 交給領導力企管
領導力企管提供 ISO/IEC 27701:2019 最佳解決方案,包括 ISO/IEC 27701 條文教育訓練(Training)、ISO/IEC 27701 程序書建置(Implementing)、 驗證(Certification)、維護(Maintaining)4大服務流程,協助建立 ISO/IEC 27701 隱私保護國際標準。最終產出符合規定的程序書、紀錄等相關文件,順利通過第三方驗證機構認證,取得符合國際公信力的 ISO/IEC 27701:2019 證書。 歡迎立即 與我們聯繫。ISO 輔導