关于ISO 27701审计 — 隐私信息管理体系的8个技术问题。时间表、方法论、交付物和评估标准。
ISO 27701是ISO 27001针对隐私信息管理(PIMS)的扩展。它建立了作为信息控制者或处理者保护个人数据的附加要求。
大规模处理个人数据的组织:科技公司、医疗保健提供者、金融实体、电子商务平台以及受GDPR、LGPD或同等法律约束的任何实体。
5到15个工作日,取决于处理的个人数据量、处理活动数量以及ISO 27001下现有ISMS的成熟度。
评估ISO 27001控制向隐私的扩展、处理活动记录、数据保护影响评估(DPIA)以及数据主体权利行使机制。
隐私差距报告、处理活动记录审查、附加隐私控制评估以及与适用法律对齐的建议。
ISO 27701需要基于ISO 27001的ISMS作为前提。它允许将控制措施映射到GDPR、LGPD和其他隐私法规,充当技术框架和法律框架之间的桥梁。
典型发现包括不完整的处理记录、未记录的处理法律依据、高风险处理缺乏DPIA以及处理数据主体权利的机制不足。
已实施ISO 27001,准备处理活动记录,确定每项处理活动的法律依据,并指定数据保护负责人。