ISO/IEC 27701誕生背景

數(shù)據(jù)濫用、數(shù)據(jù)竊取、隱私泄露以及“大數(shù)據(jù)殺熟”等數(shù)據(jù)安全問題呈現(xiàn)爆發(fā)趨勢。在此背景下，全球各個國家紛紛頒布相關(guān)法律法規(guī)，對數(shù)據(jù)安全與隱私保護(hù)相關(guān)問題進(jìn)行嚴(yán)格的規(guī)范與引導(dǎo)。
如歐盟保護(hù)個人數(shù)據(jù)的《General Data Protection Regulation》 (GDPR)；美國的 《California Consumer Privacy Act》(CCPA)等。
為了應(yīng)對越來越多的個人數(shù)據(jù)泄露或濫用的情況，國際范圍迎來了隱私保護(hù)立法和建立標(biāo)準(zhǔn)熱潮。

1. GDPR
歐盟于2018年5月25日正式實施了《通用數(shù)據(jù)保護(hù)條例》 (《General Data Protection Regulation》,簡稱《GDPR》)，是一項保護(hù)歐盟公民個人隱私和數(shù)據(jù)的法律，其適用范圍包括歐盟成員國境內(nèi)企業(yè)的個人數(shù)據(jù)、也包括歐盟境外企業(yè)處理歐盟公民的個人數(shù)據(jù)。
2. CCPA
美國已有多個州先在數(shù)據(jù)安全與隱私保護(hù)進(jìn)行了立法，其中最著名的要數(shù)2018年6月加州通過《加州消費者隱私法案》（ 《California Consumer Privacy Act》, 簡稱《CCPA》）。該法案被稱為美國“最嚴(yán)厲和最全面的個人隱私保護(hù)法案”，將于2020年1月1日生效。
3. 網(wǎng)絡(luò)安全法
我國于2017年6月1日正式實施《中華人民共和國網(wǎng)絡(luò)安全法》（通常簡稱《網(wǎng)安法》）?！毒W(wǎng)安法》是我國首部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律，包含的內(nèi)容十分豐富，一共包括7章79條，包含網(wǎng)絡(luò)運(yùn)行安全、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全、網(wǎng)絡(luò)信息安全等內(nèi)容。值得關(guān)注的是，《網(wǎng)安法》在數(shù)據(jù)（包括個人信息）安全與保護(hù)上也有諸多規(guī)定，例如第四十至四十五條。
ISO標(biāo)準(zhǔn)委員會以ISO 27001為基準(zhǔn)，以ISO 27552為藍(lán)本，建立了ISO 27701標(biāo)準(zhǔn)。

隱私信息管理體系ISO/IEC 27701標(biāo)準(zhǔn)解析

隨著社交媒體APP和物聯(lián)網(wǎng)設(shè)備在生活中的廣泛應(yīng)用，以及全球隱私法律法規(guī)的激增，諸如：《歐盟通用數(shù)據(jù)保護(hù)條例》（GDPR）、《加州消費者隱私法》（CCPA）和《中國網(wǎng)絡(luò)安全法》（China network security Law），隱私保護(hù)問題已然成為了當(dāng)前社會的焦點，這意味著組織現(xiàn)在面臨著來自客戶、最終用戶、投資者和監(jiān)管機(jī)構(gòu)的多重壓力，企業(yè)如何管理個人可識別信息（PII）或個人數(shù)據(jù)，如何確保隱私合規(guī)，都成為擺在企業(yè)面前亟待解決的新問題和新挑戰(zhàn)。
隱私的概念經(jīng)常被誤解或被錯誤地對待。許多企業(yè)認(rèn)為，不將數(shù)據(jù)傳遞給第三方并確保其數(shù)據(jù)庫受密碼保護(hù)就足夠了。諸如“同意”、“托收目的”或“跨境轉(zhuǎn)移”等概念要么被忽視，要么不被理解。針對GDPR和CCPA的嚴(yán)厲罰款讓許多組織已經(jīng)意識到了這些風(fēng)險，并開始注重其隱私保護(hù)。

2019年8月發(fā)布的隱私安全標(biāo)準(zhǔn)ISO/IEC 27701:2019，能幫助企業(yè)拓展ISO /IEC 27001體系對保護(hù)隱私的局限性，更全面、準(zhǔn)確、充分地應(yīng)對隱私保護(hù)及合規(guī)要求。
今天我們先來看看ISO/IEC 27701:2019 標(biāo)準(zhǔn)的結(jié)構(gòu)及其與 ISO/IEC 27001 和 ISO/IEC 27002之間的關(guān)系。
ISO/IEC 27701:2019的正式名稱為安全技術(shù)--ISO/IEC 27001 和 ISO/IEC 27002 對隱私信息管理的擴(kuò)展--要求和指南。其以ISO/IEC 27001 和 ISO/IEC 27002 對隱私信息管理的擴(kuò)展方式，為在組織范圍內(nèi)建立、實施、維護(hù)和持續(xù)改進(jìn)隱私信息管理體系（PIMS）指定要求，并提供指南。

與ISO/IEC 27001 配合使用，是認(rèn)證要求和實施指南的組合體。 它是對ISO/IEC 27001 的擴(kuò)展，因其增加了附加的PIMS 相關(guān)要求，如條款5、附錄 A 和附錄 B。認(rèn)證要求在標(biāo)準(zhǔn)中共有67項，表述為'應(yīng)'。同時，為組織實施 PIMS，還增加了從ISO/IEC 27002 到 PIMS的附加指南，例如條款6、7和8。

ISO/IEC 27701:2019 標(biāo)準(zhǔn)的詳細(xì)結(jié)構(gòu)

該標(biāo)準(zhǔn)不增加任何新的內(nèi)部審核要求，只要組織理解這是ISO/IEC 27001:2013 對處理個人可識別信息(PII)所可能增加風(fēng)險的“信息安全”要求。

世通信息安全服務(wù)的優(yōu)勢

世通認(rèn)證2003年經(jīng)國家認(rèn)證認(rèn)可監(jiān)督管理委員會批準(zhǔn)成立，中國合格評定國家認(rèn)可委員會認(rèn)可，是山東省具有獨立法人資格的老牌認(rèn)證機(jī)構(gòu)。成立18年來累計服務(wù)3.6萬家企事業(yè)單位，頒發(fā)證書超10萬張，山東省證書保有量第一。

世通信息安全服務(wù)中心：

1、已成功為全省一百多家企業(yè)提供信息安全與信息技術(shù)咨詢服務(wù)
2、應(yīng)各地軍民融合辦要求，已成功舉辦二十余場涉密溝通會，成為企業(yè)涉密參軍路上的好幫手

世通認(rèn)證2003年經(jīng)國家認(rèn)證認(rèn)可監(jiān)督管理委員會批準(zhǔn)成立，中國合格評定國家認(rèn)可委員會認(rèn)可，是山東省具有獨立法人資格的老牌認(rèn)證機(jī)構(gòu)。成立21年來累計服務(wù)3.6萬家企事業(yè)單位，在山東省證書保有量第一。

山東世通集團(tuán)總部位于青島，占地15畝，擁有18000㎡獨立的檢驗檢測認(rèn)證辦公大樓，總投資一億元，是中國認(rèn)證認(rèn)可協(xié)會理事單位，青島市企業(yè)參與國防建設(shè)促進(jìn)會副會長單位，中國節(jié)能協(xié)會碳中和專業(yè)委員會副主任會員單位，青島節(jié)能協(xié)會碳中和專業(yè)委員會副主任會員單位。