ISO 27701是全球公认的信息安全管理体系标准ISO/IEC 27001在隐私安全方面的延伸。它为隐私信息管理提供了指导,并使组织能够证明他们如何满足《通用数据保护条例》(GDPR)要求。该标准制定了处理个人身份信息(PII)的框架,并帮助PII控制人员和处理人员响应客户的隐私要求。
LRQA技术经理Rob Acker解释说:“虽然ISO/IEC 27701是ISO/IEC 27001的延伸,但重要的是,我们要将ISO/IEC 27701视为对风险管理的增强,而不只是额外的控制措施。虽然ISO/ IEC 27001是一个良好的起点,但进一步扩大信息安全管理体系,把隐私安全纳入其中,则进一步加强认证范围。”
根据安永2020年全球消费者隐私调查显示, 63%的消费者认为,当他们与企业分享敏感信息时,最重要的考量因素是企业对数据的收集和存储方法。
Acker进一步表示:“个人身份信息(PII)被组织以某种方式予以处理,但数据的数量和类型正随着数字经济而增加和发展。因此,降低与信息处理相关的风险至关重要。而鉴于一旦发生数据泄露将会产生深远影响,并对组织品牌造成极大损害,这一点显得尤为重要。”
有经验的审核员在审核时,将会审查组织如何处理PII以及是否制定适当的过程进行控制。
“在与客户互动时,信任非常重要,他们需要确信其个人信息的安全性,所以向他们提供一个可以信任组织的理由很关键。”Acker概述道,“至关重要的是,PII控制人员和处理人员理解并清楚他们的角色和责任。随着我们越来越多地转向服务经济,整个供应链的伙伴关系将成为相关基础,这也意味着组织之间的合作是必要的。”