ISO/IEC 27701标準的發(fā)布,填補了目前隐私信息管理體系的空白,將(jiāng)隐私保護的原則、理念和方法,融入到信息安全保護體系中,并且對(duì)PII控制者和PII處理者進(jìn)行了較爲詳細且落地性強的規定,給企業在隐私保護和信息安全方面(miàn)給出了指導建議。
ISO/IEC 27701該标準爲企業和其他組織提供了一個國(guó)際通用的的隐私信息管理工具,對(duì)于降低企業隐私合規難度,便利企業提供合規證明,増強社會各方對(duì)企業的信任程度具有重要意義。實施隐私信息管理,至少獲得如下收益:
1)合規。通過(guò)明确對(duì)PII處理者的隐私保護要求,可以明确隐私保護管理合規目标,減輕組織合規負擔的同時降低組織合規風險,ISO27701标準附錄D中明确表示,單個隐私控制點可以滿足GDPR中的多項要求。滿足了ISO27701标準也就意味著(zhe)基本滿足GDPR的要求,而GDPR是衆多隐私保護法規中最爲嚴格的,也就意味著(zhe)滿足了即將(jiāng)頒布的《隐私保護法》的系列要求。
2)完善數據安全能(néng)力和風險管理。實現持續的完善産品的非功能(néng)性要求,進(jìn)而展示出産品在處理個人隐私安全、安全治理的績效,通過(guò)流程分析,在流程的輸入、輸出、控制過(guò)程中,識别、分析、驗證隐私保護需求、傳遞隐私保護價值,減少甚至消除隐私洩露的風睑,如:體現爲采用隐私控制技術(如日志脫敏、數據庫加密)、産品架構(如加密芯片)、技術路徑(如完整性校驗)等。
3)PIMS認證可以傳遞信任。客戶或合作夥伴,尤其是政府組織、金融機構作爲承擔隐私風險的機構,通常會要求PII處理者提供相關證據(如PIA分析報告),從而證明PII處理者的産品能(néng)符合适用的隐私管理體系要求。通過(guò)得到授權的第三方機構對(duì)PII處理者進(jìn)行基于國(guó)際标準的審核,可以極大地降低合規溝通成(chéng)本,這(zhè)種(zhǒng)合規透明度的提高對(duì)于組織戰略和業務決策至關重要,同時PIMS認證也有助于向(xiàng)公衆傳達組織的可信度。
010-62988938
