目前,ISO/IEC 27001已是國際上公認為資訊安全管理系統的首要標準,不過,在隱私保護方面除了所需的資安控制措施之外,如何因應法令法規對於個資和隱私保護的要求,以及從PII的控制者和PII的處理者的不同角度來實現和滿足,這也讓ISO組織開始著手編寫ISO/IEC 27552 (ISO/IEC 27701的前身) 標準,希望在既有的資訊安全管理系統 (ISMS)上,也能延伸補充個資管理系統 (PIMS) 的要求和實施指引。
如今,「ISO/IEC 27701:2019 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines」已在2019年8月正式發布,成為全球第一個隱私保護和個資管理的ISO標準。
ISO/IEC 27701的內容分為8個章節如下:
- Scope
- Normative references
- Terms, definitions and abbreviations
- General
- PIMS-specific requirements related to ISO/IEC 27001
- PIMS-specific guidance related to ISO/IEC 27002
- Additional ISO/IEC 27002 guidance for PII controllers
- Additional ISO/IEC 27002 guidance for PII processors
第四章則是整體性的說明,包括PIMS的要求如何對應到ISO/IEC 27001的4~10章管理體系,以及PIMS增項的指引如何對應到ISO/IEC 27002的5~18章的控制措施。
第五章和第六章的內容,則是進一步敘述在第四章提到的PIMS對應ISO/IEC 27001管理體系要求和ISO/IEC 27002控制措施實施指引。
至於第七章和第八章,則分別從PII控制者和PII處理者的角度,說明包括蒐集和處理個資的情況和條件、應遵循的個資保護原則、設計和預設的隱私考量,以及個資的分享、傳輸和揭露的增項要求。
最後,在標準的附錄A~F中還補充了PII控制者和PII處理者可參考的控制目標和控制措施,以及對應到 ISO/IEC 29100、GDPR、ISO/IEC 27018、ISO/IEC 29151 的條款編號,並且加上如何應用此標準的說明,對於想要整合多項標準和遵循GDPR的組織而言是很清楚的參考資訊。
