ISO/IEC27001、ISO/IEC27701是国际标准化组织(ISO)和国际电工委员会(IEC)联合发布的信息安全和隐私安全管理体系国际标准。
因其提供了通用性,ISO27701并不对标特定的法律法规要求,而是定义了能够支撑实现这些要求的体系及运行机制。以数据泄露事件响应为例,GDPR中规定了报告的义务,包括时限、内容和对象等要求。27701在其6.13.1中规定了如何管理这类事件,包括了责任与规程、汇报、评估和决策、复盘学习、证据收集等,但没有就报告时限做出明确规定,而是把这个作为体系环境评估时的输入由组织自行确定,从而提供了更广泛的通用性。
ISO/IEC27701认证目标受众包括:1.寻求有关PIMS的一般信息的组织,2.根据ISO/IEC27701:2019要求,计划实施或获得PIMS认证的组织。
目前,美国和英国等国家认可机构已颁发对ISO/IEC27701认证机构的认可。中国2020年也启动了对ISO/IEC27701标准的国标转化筹备工作。因为国际环境的影响,目前选择认证的组织多数是亚太地区的企业,尤其以国内居多,如华为终端云服务、阿里云、爱奇艺等均在近期完成了ISO27701认证。
因此进行ISO27701的对标研究,有助于加深相关企业对于该标准的理解、推进差距分析,最终提升数据保护水平并通过认证。
ISO/IEC27701成为企业加强数据安全应用、个人隐私安全管理的指导方案,明确了方式方法;又成为人们辨识企业在个人信息安全保护中具备的能力与可信度的标准,使人们在日常工作生活中知道如何挑选可信度高的企业;成为多方互信保障,为社会诚信赋能。
