受國際矚目的個資管理系統(PIMS)國際標準ISO/IEC 27701:2019,於2019年8月首次發佈隱私與個資保護規範,此版本中不僅整合了 ISO/IEC 27001 與 ISO/IEC 27002 隱私保護要求和控制措施,更能有效地落實個人資料保護原則與控制措施,是目前相關標準中最新的版本,也與全球關注議題有相當程度的接軌,就如國內的台灣個資法、資通安全管理法與歐盟GDPR等。
ISO/IEC 27701隱私資訊管理系統具體考量了 GDPR之相關要求及 ISO 29100等國際標準所制定的隱私保護規範,可更完整的涵蓋 GDPR要求。由於該標準延伸自 ISO/IEC 27001及 ISO/IEC 27002,是能同時兼顧國際標準架構的要求(requirements)與實作指引(guideline),在 ISO/IEC 27001之驗證範圍中完整納入對於隱私保護的相關管控措施。
ISO/IEC 27701(草擬時期稱為 ISO/IEC 27552)在 ISO/IEC 27001的架構下進行隱私保護管控,可以視為在 ISO 27001的要求下進行擴展,不論組織型態、規模都可以適用此隱私資訊管理系統(PIMS)。
ISO/IEC 27701 以 ISO/IEC 27001的要求出發,在原有的 PDCA架構上納入組織對於所取得的 PII(個人可識別資訊)之隱私保護,並且在 ISO/IEC 27002(資訊科技-安全技術-資訊安全管理作業法規)之實施指引中增加對於 PII隱私保護的規範(營運持續管理除外)。
ISO27701:2019 條款要求
條款1~條款3 :範圍、參考規範及名詞解釋。
條款4 :一般要求。
條款5 :以 ISO/IEC 27001本文的高階架構,擴展到對隱私保護規範。
條款6 :以 ISO/IEC 27002的實作指引,擴展到對隱私保護規範。
條款7章及條款8 :針對 PII 控制者及 PII 處理者在 ISO 27002的額外控制指引。例如個資蒐集及處理的限制、 PII 最小化目標及 PII 去識別化及刪除等要求。(詳見附錄A及附錄B)
附錄A :PIMS控制目標及控制措施 (對 PII 控制者)
附錄B :PIMS控制目標及控制措施 (對 PII 處理者)
附錄C :與 ISO/IEC 29100的對應關係
附錄D :與 GDPR的對應關係
附錄E :與 ISO/IEC 27018及 ISO/IEC 29151的對應關係
附錄F :如何將 ISO/IEC 27701運用於 ISO/IEC 27001及 ISO/IEC 27002
章節架構介紹
ISO/IEC 27701全文共包括了 8個條款,並於附錄 A~F中補充 PII控制者及 PII處理者可作為參考的控制目標及控制措施,提供欲遵循 GDPR規範的組織做為參考,且內容提供可對應到 ISO/IEC 29011、GDPR、ISO/IEC 27018、ISO/IEC 29151的條款號碼,可以理解到 ISO/IEC 27701是參酌了許多隱私規範的標準。