ISO 27701是全球公認的資訊安全管理系統標準ISO/IEC 27001在隱私安全方面的延伸。它為隱私資訊管理提供了指導,並使組織能夠證明他們如何滿足《通用資料保護條例》(GDPR)要求。該標準制定了處理個人身份資訊(PII)的框架,並幫助PII控制人員和處理人員回應客戶的隱私要求。
LRQA技術經理Rob Acker解釋說:“雖然ISO/IEC 27701是ISO/IEC 27001的延伸,但重要的是,我們要將ISO/IEC 27701視為對風險管理的增強,而不只是額外的控制措施。雖然ISO/ IEC 27001是一個良好的起點,但進一步擴大資訊安全管理系統,把隱私安全納入其中,則進一步加強驗證範圍。”
根據安永2020年全球消費者隱私調查顯示, 63%的消費者認為,當他們與企業分享敏感資訊時,最重要的考量因素是企業對資料的收集和存儲方法。
Acker進一步表示:“個人身份資訊(PII)被組織以某種方式予以處理,但資料的數量和類型正隨著數字經濟而增加和發展。因此,降低與資訊處理相關的風險至關重要。而鑒於一旦發生資料洩露將會產生深遠影響,並對組織品牌造成極大損害,這一點顯得尤為重要。”
有經驗的稽核員在稽核時,將會審查組織如何處理PII以及是否制定適當的過程進行控制。
“在與客戶互動時,信任非常重要,他們需要確信其個人資訊的安全性,所以向他們提供一個可以信任組織的理由很關鍵。”Acker概述道,“至關重要的是,PII控制人員和處理人員理解並清楚他們的角色和責任。隨著我們越來越多地轉向服務經濟,整個供應鏈的夥伴關係將成為相關基礎,這也意味著組織之間的合作是必要的。”