ISO 27701审计 — 隐私信息管理体系
ISO 27001扩展,用于个人数据管理和隐私法规合规。
ISO 27701:2019不是独立标准——它是ISO 27001的扩展,为数据控制者和处理者增加了个人数据管理的特定控制。这意味着在未解决ISO 27001的情况下采用ISO 27701在结构上是不可行的。大多数组织低估的是数据流映射的复杂性:仅列出数据库是不够的——必须记录每个处理活动、其法律基础、国际传输、保留期限和数据主体权利行使机制。隐私审计中最常见的发现是缺少高风险处理的数据保护影响评估(DPIA),这是GDPR(第35条)和ISO标准的明确要求。在监管检查之前完成此诊断的组织显著降低了其受处罚的风险。
交付成果
个人数据流映射
处理活动、法律基础和国际传输清单。
隐私差距分析
针对ISO 27701和适用法规的评估。
合规计划
关闭监管和技术差距的路线图。
干预流程
数据映射
识别个人数据流和处理活动。
控制评估
审查技术组织隐私控制。
报告和行动计划
发现、监管差距和合规路线图。
技术查询
不。ISO 27701提供了一个可审计的管理框架,有助于遵守GDPR、LGPD和其他数据保护法规,但不能在法律上取代它们。它所做的是系统地构建合规证据:如果监管机构要求证明您的组织如何保护个人数据,处于运行中的ISO 27701体系以连贯和可审计的格式呈现处理记录、文档化的DPIA、保留政策和技术控制证据。这种可追溯性是用临时文件还是用可验证管理体系回应监管机构之间的区别。
是的。ISO 27701是ISO 27001的扩展——没有它就不能存在。该标准在已建立的信息安全管理体系之上添加隐私控制。如果您的组织尚未建立ISO 27001,诊断将并行评估两个标准,并提出同时涵盖安全和隐私的综合路线图,优化采用工作量。
Fernando Arrieta提供管理体系的评估、诊断与方法论指导服务。这些活动独立于认证过程,认证过程专门由认可的认证机构执行。