点击上方蓝色字“Sky的安全观”关注我们
>>ISO系列标准解读合集<<
ISO/IEC 27001: 2022 标准详解与实施合集(共42篇)
ISO/IEC 27001: 2013 标准详解与实施合集(共47篇)
ISO/IEC 20000-1: 2018 标准详解与实施合集(共48篇)
>>更多精彩合集,敬请期待<<
一、ISO/IEC 27701是什么?
ISO/IEC 27701是专门面向隐私信息管理的一个标准。隐私信息管理本身就是属于信息安全管理的范畴,所以ISO/IEC 27001本身就包含了隐私信息管理的要求,而ISO/IEC 27002则包含了隐私信息管理的指南。
二、为什么需要ISO/IEC 27701?
隐私信息管理作为信息安全管理的一个特定领域,而当今几乎每个组织都会处理个人身份信息(PII),也就是所谓的隐私信息。而且,被处理的个人身份信息(PII)的数量和种类正逐渐增加,组织需要与其他组织就个人身份信息(PII)的处理进行合作的情况也在增加。在个人身份信息(PII)处理的环境下,保护隐私是一种社会需求,也是世界各地专用法律和/或法规的主题。因此,仅仅依靠ISO/IEC 27001来进行对隐私信息进行管理是远远不够的。
所以,国际标准化组织(ISO)和国际电工委员会(IEC)又联合编制了ISO/IEC 27701这个标准,以此来对ISO/IEC 27001中的隐私信息管理要求,以及ISO/IEC 27002中的隐私信息管理指南进行扩展,这也是为什么ISO/IEC 27701这个标准的名称是“ISO/IEC 27001 和 ISO/IEC 27002 隐私信息管理的扩展 — 要求和指南“的原因。
三、ISO/IEC 27701如何实施?
ISO/IEC 27701标准是不能单独进行实施的,因为其本身包含了ISO/IEC 27001和ISO/IEC 27002的内核。因此,要实施ISO/IEC 27701,必须同步实施ISO/IEC 27001的要求。当然,如果把ISO/IEC 27701称作隐私信息管理体系的说法,是有点欠妥的,称作信息安全和隐私管理体系,才是比较恰当的。
ISO/IEC 27701目前的版本是2019版,包含的内核是ISO/IEC 27001: 2013和ISO/IEC 27002: 2013,因此在实施ISO/IEC 27701: 2019时,其内核依然要以ISO/IEC 27001: 2013作为要求,以及要以ISO/IEC 27002: 2013作为指南。
四、ISO/IEC 27701内核版本
现在ISO/IEC 27001的最新版本是2022版,并且很多企业已经获得了ISO/IEC 27001: 2022认证证书,但是ISO/IEC 27701: 2019依然要求以ISO/IEC 27001: 2013作为内核要求。
当然如果企业因为使用两个版本的ISO/IEC 27001,觉得太麻烦的话,也可以通过一定的手段和措施进行整合,可以统一使用ISO/IEC 27001: 2022要求。但是,不能直接这样去操作,必须要有相应的整合措施。至于要如何来进行操作,后面在解读到相关条款时,会进行详细的说明。
>>ISO标准过程和文件清单<<
>>更多精彩清单,敬请期待<<
原文始发于微信公众号(Sky的安全观):ISO/IEC 27701: 2019 标准详解与实施(1)概述
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论