如何实施ISO27701认证?
要求供应商代表他们处理和维护PII的客户应考虑合同规定这些供应商不仅要遵守ISO27001,而且要符合ISO27701,或者在适用于数据敏感性的情况下获得ISO27701标准的认证。即使客户不要 求供应商通过独立的第三方认证也符合新标准ISO27701认证,他们仍可能希望更新合同以确保供应商可以符合ISO27701认证的要求。由于ISO27701认证仍然非常对于新合同,卖方应遵守本新标准的规定合理的时间延迟,以便将其包括在这些合同中。
已通过ISO27001认证并希望实施ISO27701要求的组织应考虑采取以下步骤:
1)对现有ISMS进行符合ISO27701认证要求的差距评估,并就如何解决这些差距制定行动计划。
2)对组织收集的PII进行数据映射,以了解收集的PII的范围以及如何使用和与处理器共享。
3)根据与组织环境相关的内部或外部因素(例如适用的隐私法规,法规,司法决定或合同要求)确定组织作为控制者和/或处理者的角色。
4)查看并更新隐私策略,以确保它们包含必需的信息。
5)制定适用于组织角色的政策和程序。
6)通过设计和默认原则开始规划和实施隐私。
已通过ISO27001认证并希望实施ISO27701要求的组织应考虑采取以下步骤:
1)对现有ISMS进行符合ISO27701认证要求的差距评估,并就如何解决这些差距制定行动计划。
2)对组织收集的PII进行数据映射,以了解收集的PII的范围以及如何使用和与处理器共享。
3)根据与组织环境相关的内部或外部因素(例如适用的隐私法规,法规,司法决定或合同要求)确定组织作为控制者和/或处理者的角色。
4)查看并更新隐私策略,以确保它们包含必需的信息。
5)制定适用于组织角色的政策和程序。
6)通过设计和默认原则开始规划和实施隐私。