企航顾问ISO/IEC27701隐私信息管理体系服务

2022/12/30

随着社交媒体APP和物联网设备在生活中的广泛应用，以及全球隐私法律法规的激增，诸如：《欧盟通用数据保护条例》（GDPR）、《加州消费者隐私法》（CCPA）和《中国网络安全法》（China network security Law），隐私保护问题已然成为了当前社会的焦点，这意味着组织现在面临着来自客户、最终用户、投资者和监管机构的多重压力，企业如何管理个人可识别信息（PII）或个人数据，如何确保隐私合规，都成为摆在企业面前亟待解决的新问题和新挑战。

ISO/IEC27701隐私信息管理体系标准作为ISO/IEC27001与ISO/IEC27002在管理上的延伸标准，其目标是通过新增的要求来增强现有信息安全管理体系（ISMS）,以便建立、实施、维护和不断改进隐私信息管理体系（PIMS），标准概述了适用于个人身份信息（PII）控制者和PII处理者的框架，用于隐私控制管理，以降低对个人隐私的各种风险。

一、什么是ISO/IEC 27701？

ISO/IEC 27701是对ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隐私扩展，全称《安全技术—扩展ISO/IEC 27001和ISO/IEC 27002的隐私信息管理—要求与指南》。它是ISO标准委员会以ISO 27001为基准，以ISO 27552为蓝本，建立发布的隐私信息管理体系标准，为保护个人隐私提供指导。

ISO/IEC 27701标准的发布，填补了隐私信息管理体系的空白，将隐私保护的原则、理念和方法，融入到信息安全保护体系中，并且对PII控制者和PII处理者进行了较为详细且落地性强的规定，给企业在隐私保护和信息安全方面给出了指导建议。

二、ISO/IEC27701产生的背景

数据滥用、数据窃取、隐私泄露以及“大数据杀熟”等数据安全问题呈现爆发趋势。在此背景下，全球各个国家纷纷颁布相关法律法规，对数据安全与隐私保护相关问题进行严格的规范与引导。

1、2018年欧盟GDPR《General Data Protection Regulation》生效。2021年，欧盟在GDPR中采信由监管机构认可或国家认可机构认可的第三方认证机构颁发的认证证书

2、2017年6月1日，《中华人民共和国网络安全法》（通常简称《网安法》）颁布实施，2021年11月1日，我国的《个人信息保护法》生效

3、美国《隐私权法》、《电子通讯隐私法》、《金融服务现代化法案》、《儿童在线隐私权保护法案》、《健康保险携带和责任法》和《有效保护隐私权的自律规范》等

4、日本《个人信息保护法》等

5、加拿大《隐私法》、《个人信息保护与电子文件法》等

6、国际：OECD《关于保护隐私和个人数据国际流通的指南》和《APEC隐私保护框架》等

7、……

为规范组织内部个人隐私信息安全管理，满足各国相关隐私保护法律法规的要求，国际标准化组织（ISO）以ISO 27001为基准，以ISO 27552为蓝本，建立了ISO 27701标准。

三、ISO/IEC27701的核心术语

1、PII：Personally Identifiable Information个人可识别信息 ，也译作个人身份信息

（1）可用于识别此类信息相关的 PII 主体的任何信息

（2）直接或间接链接到 PII 主体的信息

2、PII控制者：确定处理个人可识别信息（PII）的目的和手段隐私利益相关者，但不包括出于个人目的使用数据的自然人

3、PII处理者：代表并按照 PII 控制者的说明处理PII的隐私利益相关者

4、PIMS：Privacy Information Management System隐私信息管理体系

5、Customer：

（1）PII控制者的customer：与PII控制者有合约关系的组织，可以是共同控制者

（2）PII处理者的customer：与PII处理者有合约关系的PII控制者

（3）与PII处理的分包商有合约关系的PII处理者

四、ISO/IEC27701标准的结构

ISO/IEC 27701是ISO/IEC 27001和ISO/IEC 27002在隐私方面的扩展，并为隐私保护提供了除ISO/IEC 27001和ISO/IEC 27002之外的额外的指导。全文共分为8个章节及6个附录，主要的要求和指导内容集中在第5-8章。

1、条款1-4，给出了标准的范围，术语、定义等。

2、条款5介绍了ISO/IEC 27001中延伸出的关于PIMS的扩展要求以及本标准对PIMS的附加要求。

3、条款6介绍了ISO/IEC 27002中对PIMS的扩展及附加要求。上述条款对PII的控制者和处理者均适用。

4、条款7给出了针对PII控制者的ISO/IEC 27002扩展指南。

5、条款8给出了针对PII处理者的ISO/IEC 27002扩展指南。这两章从PII的收集和处理，对PII主体的义务，Privacy by design & Privacy by default，PII的共享、传输和披露四个方面做出了相应规定。

6、附录A是针对PII控制者的PIMS特定的控制目标和控制措施。

7、附录B是针对PII处理者的PIMS特定的控制目标和控制措施。

8、附录C给出了标准与ISO/IEC 29100的映射。

9、附录D是与GDPR的映射。

10、附录E是与ISO/IEC 27018和ISO/IEC 29151的映射。

11、附录F则是如何在处理PII时将ISO/IEC 27001和ISO/IEC 27002扩展到隐私保护。

总体而言，ISO/IEC 27701标准通过第5章和第6章将ISO/IEC 27002与附加的PIMS控制项通过ISO/IEC 27001中PDCA的方式导入体系，形成完整的信息安全和隐私管理体系。此外，第7章和第8章从数据生命周期的角度新增分别针对PII控制者和处理者的控制要求。同时，附录中还将本标准与GDPR、ISO/IEC 29100、ISO/IEC 27018及ISO/IEC 29151进行了映射。

【上表：信息安全标准适用范围】

五、ISO/IEC27701标准重点解读

ISO/IEC 27701嵌套在ISO/IEC 27000系列中，并要求符合ISO/IEC 27001标准。ISO/IEC 27701扩展了ISO/IEC 27001的要求，在原有管理、实施、操作、监控、审查和不断改进ISMS的流程基础上，着重考虑了对于企业所持有PII的隐私保护。同时ISO/IEC 27701对ISO/IEC 27002实施指南中的隐私性进行了解释和扩展，除业务连续性以外的所有控制域均增加了关于PII隐私的实施指南。

ISO/IEC 27701分别从PII控制者和PII处理者的角度，补充说明了收集和处理PII的条件、对PII主体的隐私保护义务、Privacy by design and privacy by default以及PII共享、转移和披露的相关要求。

1、条款5“与 ISO/IEC 27001 相关的PIMS特定要求”

涵盖了对 ISO/IEC 27001:2013 条款4~10附加的要求，均为认证要求。例如，如本标准中条款5.7.2 的表述：ISO/IEC 27001:2013，9.2 中所述要求以及5.1 中所述的解释均适用。

该标准不增加任何新的内部审核要求，只要组织理解这是ISO/IEC 27001:2013 对处理个人可识别信息(PII)所可能增加风险的“信息安全”要求。

ISO/IEC 27701:2019对ISO/IEC 27001的以下条款增加了附加的要求：

2、条款6“与ISO/IEC 27002相关的PIMS特定指南”

涵盖了与ISO/IEC 27002有关的其他PIMS相关指南。例如，标准条款6.9.4.4（与 ISO/IEC 27001:2013 的12.4.4 时钟同步相对应）不包含任何附加要求，因为时钟同步与隐私风险没有相关性。

另一方面，标准条款6.9.3.1 （与 ISO/IC 27001:2013 的12.3.1 信息备份相对应）则增加较多的隐私管理指南，因为信息备份可能存在隐私风险，例如数据保留期、跨境数据传输等。

下表总结了 ISO/IEC 27002 各个领域中的控制点的数量。在 ISO/IEC 27002 中，共对32项新的控制点进行了修订。与ISO/IEC 27002一样，条款6中的指南为非认证条款。

3、条款7“对PII控制者附加的ISO/IEC 27002指南”

为 PII 控制者提供指南。对于 PII 控制者所需的所有控制点都列在标准的附录A 中。这些控制点是规范性的，这意味着如果组织作为控制者，则应实施这些控制（参见如下认证中的 PII 控制者与PII 处理者）。条款7中所提供的指南有助于组织实施这些控制。然而，这些指南为非认证性的。

4、条款8“对PII处理者附加的ISO/IEC 27002指南”

为 PII 处理者提供指南。本标准附录 B 列出了 PII 处理者的控制点。与附录 A 相似，如果组织作为处理者，这些控制点是规范性的。条款8的指南是非认证性的。

六、建立ISO/IEC27701的收益

ISO/IEC 27701该标准为企业和其他组织提供了一个国际通用的隐私信息管理工具，对于降低企业隐私合规难度，便利企业提供合规证明，增强社会各方对企业的信任程度具有重要意义。实施隐私信息管理，至少获得如下收益：

1、合规。通过明确对PII处理者的隐私保护要求，可以明确隐私保护管理合规目标，减轻组织合规负担的同时降低组织合规风险，ISO27701标准附录D中明确表示，单个隐私控制点可以满足GDPR中的多项要求。满足了 ISO27701 标准也就意味着基本满足 GDPR 的要求，而 GDPR 是众多隐私保护法规中最为严格的，也就意味着满足了即将颁布的《隐私保护法》的系列要求。

2、完善数据安全能力和风险管理。实现持续的完善产品的非功能性要求，进而展示出产品在处理个人隐私安全、安全治理的绩效，通过流程分析，在流程的输入、输出、控制过程中，识别、分析、验证隐私保护需求、传递隐私保护价值，减少甚至消除隐私泄露的风险，如：体现为采用隐私控制技术（如日志脱敏、数据库加密）、产品架构（如加密芯片）、技术路径（如完整性校验）等。

3、PIMS认证可以传递信任。客户或合作伙伴，尤其是政府组织、金融机构作为承担隐私风险的机构，通常会要求PII处理者提供相关证据（如PIA分析报告），从而证明PII处理者的产品能符合适用的隐私管理体系要求。通过得到授权的第三方机构对PII处理者进行基于国际标准的审核，可以极大地降低合规沟通成本，这种合规透明度的提高对于组织战略和业务决策至关重要，同时PIMS认证也有助于向公众传达组织的可信度。

七、关于企航顾问

企航顾问在ICT（信息与通讯技术）领域提供的服务项目有：

1、ISO/IEC 20000 ： 信息技术服务管理体系

2、ISO/IEC 27001 ： 信息安全管理体系

3、ISO/IEC 27701 ： 隐私信息管理体系

4、ISO/IEC 27017 ： 云服务信息安全规范

5、ISO/IEC 27018 ： 公共云个人信息（PII）处理者的信息安全控制规范

6、ISO/IEC 29151 ： 个人信息保护的行为准则

7、ISO 22301 ： 业务连续性管理体系

8、TISAX ：可信信息安全评估及交换机制

9、ISO/SAE 21434 ： 汽车网络安全

10、TL 9000 ： 通讯行业质量管理体系

11、……