ISO/IEC 27701隐私信息管理体系标准关键术语介绍
发布日期: 2024/03/07
ISO/IEC 27701是国际标准化组织发布的隐私信息管理体系标准,全称《安全技术—扩展ISO/IEC 27001和ISO/IEC 27002的隐私信息管理—要求与指南》。
ISO/IEC 27701是对ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隐私扩展。是一项国际管理系统标准体系,为保护个人隐私提供指导,包括组织应如何管理个人信息,并协助证明遵守了世界各地的隐私法规。
为更好地理解新标准,需要弄清两个关键术语:控制者和处理者。这两个术语在很多隐私法律和规定中都能见到,包括GDPR。通常,“控制者”是指示为什么要收集和处理PII的实体,“处理者”是代表该控制者负责处理此数据的另一个法律实体(非员工)。
PII:
个人可识别信息Personally identifiable information,也译作个人身份信息
PII控制者:
确定处理PII的目的和手段隐私利益相关者,但不包括出于个人目的使用数据的自然人
PII处理者:
代表并按照PII控制者的说明处理PII的隐私利益相关者
PIMS:
隐私信息管理体系
Customer:
PII控制者的customer:与PII控制者有合约关系的组织,可以是共同控制者PII处理者的customer:与PII处理者有合约关系的PII控制者
标准设计的目的在于借助更多的要求增强现有ISMS,以建立、实施、维护和持续改进隐私信息管理体系(PIMS)。标准概述了适用于个人身份信息(PII)控制者和PII处理者的框架,以有效管理隐私控制,降低个人隐私权面临的风险。它适用于所有类型和规模的组织,包括公共和私营公司、政府实体以及非盈利组织。
