如何确保供应商能够符合ISO 27701的要求
发布日期: 2023/05/03
ISO/IEC 27701认证向在信息安全管理体系中负责PII(个人身f信息)处理的任何组织提供指南。各种规模和类型的组织,包括上市公司和私营公司以及政府实体和其他类型的组织,都可以从中受益。它提供了一种基于风险的方法,可以帮助组织应对所面临的特定隐私风险以及数据和隐私风险。
与ISO 27001标准类似,ISO 27701不期望组织机构在所有情况下采纳每一条控制。相反,该标准要求组织机构理解自身PII处理的具体上下文,以适合其处理活动的方式调整特定控制集和与之相关的实现。
ISO 27701合规首先要求ISO 27001合规。二者互为补充。遵从ISO 27701要求的组织机构会留下其PII处理方式的书面证据,可用于推动与商业合作伙伴就PII处理问题签订协议,明确该组织机构与其他利益相关者间的PII处理方式。尽管GDPR尚未确立官方认证方法,近期报告表明,ISO 27701或可在近期改变这一现状。
客户若想雇佣供应商代表自己处理和维护PII,应考虑以合同的形式要求这些供应商不仅遵从ISO 27001,还要遵从ISO 27701,或者在数据敏感度适用的情况下取得符合该标准的认证。即使客户不要求供应商经过独立第三方的新标准合规认证,可能也想要更新合同,确保供应商能够符合ISO 27701的要求。鉴于ISO 27701才刚发布,合同中也可写入供应商符合新标准要求的合理时延。
