ISO27001認(rèn)證
熱線:
Q Q:實(shí)現(xiàn)ISO/IEC27701要求的組織機(jī)構(gòu)應(yīng)該怎么做?
發(fā)布時(shí)間:2020-06-18 作者:廣匯聯(lián)合 來(lái)源:廣匯聯(lián)合
ISO 27701 合規(guī)首先要求 ISO 27001 合規(guī)。二者互為補(bǔ)充。遵從 ISO 27701 要求的組織機(jī)構(gòu)會(huì)留下其 PII 處理方式的書(shū)面證據(jù),可用于推動(dòng)與商業(yè)合作伙伴就 PII 處理問(wèn)題簽訂協(xié)議,明確該組織機(jī)構(gòu)與其他利益相關(guān)者間的 PII 處理方式。盡管 GDPR 尚未確立官方認(rèn)證方法,近期報(bào)告表明,ISO 27701 或可在近期改變這一現(xiàn)狀。
客戶若想雇傭供應(yīng)商代表自己處理和維護(hù) PII,應(yīng)考慮以合同的形式要求這些供應(yīng)商不僅遵從 ISO 27001,還要遵從 ISO 27701,或者在數(shù)據(jù)敏感度適用的情況下取得符合該標(biāo)準(zhǔn)的認(rèn)證。即使客戶不要求供應(yīng)商經(jīng)過(guò)獨(dú)立第三方的新標(biāo)準(zhǔn)合規(guī)認(rèn)證,可能也想要更新合同,確保供應(yīng)商能夠符合 ISO 27701 的要求。
已經(jīng)通過(guò) ISO 27001 認(rèn)證,希望實(shí)現(xiàn) ISO 27701 要求的組織機(jī)構(gòu),可以考慮采取下列步驟:
1. 按照 ISO 27701 的要求對(duì)現(xiàn)有 ISMS 執(zhí)行漏洞評(píng)估,生成如何解決這些漏洞的行動(dòng)計(jì)劃。
2. 對(duì)組織機(jī)構(gòu)收集的 PII 執(zhí)行數(shù)據(jù)映射,了解所收集 PII 的范圍,弄清處理者共享和使用 PII 的方式。
3. 依據(jù)上下文相關(guān)的內(nèi)部或外部因素,比如適用的隱私立法、規(guī)定、司法判決或合同要求等,確定組織機(jī)構(gòu)作為控制者和/或處理者的角色。
4. 審核并更新隱私政策,確保含有所要求的信息。
5. 制定適用于該組織機(jī)構(gòu)角色的策略和規(guī)程。
6. 開(kāi)始規(guī)劃和實(shí)現(xiàn)設(shè)計(jì)隱私與默認(rèn)隱私原則。
