2019年8月6日,国际标准化组织(ISO)和国际电工委员会(IEC)发布了ISO/IEC 27701(ISO 27701)——ISO/IEC 27001和ISO/IEC 27002的隐私扩展,旨在帮助组织机构保护和控制所处理的个人信息。
ISO 27701合规首先要求ISO 27001合规。二者互为补充。遵从ISO 27701要求的组织机构会留下其PII处理方式的书面证据,可用于推动与商业合作伙伴就PII处理问题签订协议,明确该组织机构与其他利益相关者间的PII处理方式。尽管GDPR尚未确立官方认证方法,近期报告表明,ISO 27701或可在近期改变这一现状。
新发布的标准适用于PII控制者(及联合控制者)和处理者(包括下级处理者),无论其运营的行业和司法辖区,也包括到GDPR和SO/IEC 29100、ISO/IEC 27018及ISO/IEC 29151安全框架的映射。
通过PIMS的扩展以及与隐私相关的控制来增强现有的信息安全管理体系(ISMS),简化复杂的重叠隐私法的管理,创建一个以证据为基础的隐私计划,并通过公认的认证形式表明该计划的合规性,并作为潜在的GDPR合规性的基础。现在发布的ISO27701认证标准还实现了其他一些目的。一方面,它充当PIMS与ISMS或ISO27001之间关系和连接的概述。它还详述了所需的功能,并列出了PIMS数据处理器和控制器的隐私控制。在更大范围内,ISO27701认证将信息隐私要求映射到相关的ISO标准和GDPR。
客户若想雇佣供应商代表自己处理和维护PII,应考虑以合同的形式要求这些供应商不仅遵从ISO 27001,还要遵从ISO 27701,或者在数据敏感度适用的情况下取得符合该标准的认证。即使客户不要求供应商经过独立第三方的新标准合规认证,可能也想要更新合同,确保供应商能够符合ISO 27701的要求。鉴于ISO 27701才刚发布,合同中也可写入供应商符合新标准要求的合理时延。
