ISO27001认证
热线:
Q Q:实现ISO/IEC27701要求的组织机构应该怎么做?
发布时间:2020-06-18 作者:广汇联合 来源:广汇联合
ISO 27701 合规首先要求 ISO 27001 合规。二者互为补充。遵从 ISO 27701 要求的组织机构会留下其 PII 处理方式的书面证据,可用于推动与商业合作伙伴就 PII 处理问题签订协议,明确该组织机构与其他利益相关者间的 PII 处理方式。尽管 GDPR 尚未确立官方认证方法,近期报告表明,ISO 27701 或可在近期改变这一现状。
客户若想雇佣供应商代表自己处理和维护 PII,应考虑以合同的形式要求这些供应商不仅遵从 ISO 27001,还要遵从 ISO 27701,或者在数据敏感度适用的情况下取得符合该标准的认证。即使客户不要求供应商经过独立第三方的新标准合规认证,可能也想要更新合同,确保供应商能够符合 ISO 27701 的要求。
已经通过 ISO 27001 认证,希望实现 ISO 27701 要求的组织机构,可以考虑采取下列步骤:
1. 按照 ISO 27701 的要求对现有 ISMS 执行漏洞评估,生成如何解决这些漏洞的行动计划。
2. 对组织机构收集的 PII 执行数据映射,了解所收集 PII 的范围,弄清处理者共享和使用 PII 的方式。
3. 依据上下文相关的内部或外部因素,比如适用的隐私立法、规定、司法判决或合同要求等,确定组织机构作为控制者和/或处理者的角色。
4. 审核并更新隐私政策,确保含有所要求的信息。
5. 制定适用于该组织机构角色的策略和规程。
6. 开始规划和实现设计隐私与默认隐私原则。
