資訊安全管理系統

Information Security

ISO 27701 介紹

什麼是ISO/IEC 27701?

屬個人資料管理系統(Privacy Information Management System,簡稱 PIMS)的國際標準之一,27701著重在隱私與個資的保護,為 ISO/IEC 27001 資訊安全管理系統 和 ISO/IEC 27002 資訊安全控制措施的擴展,是 ISO 國際標準組織於 2019 年8月6日發佈。

何謂PII?

個人可識別資訊(Personally identifiable information,簡稱PII),為可以用來辨識、聯絡、定位單一人士,或加上一些輔助資訊後達成前述目的的資訊。

ISO/IEC 27701 存在的原因

為保護個人隱私資訊直接提供指引,藉由補充額外的管控要求,以建立、實施、維護和持續改善ISMS 範圍內的個人隱私資訊管理系統(PIMS),並針對PII的控制者與處理者設定框架,以強化隱私保護的控制措施,降低隱私資訊遭受侵害的風險。

ISO/IEC 27701 對組織的益處:

  • 保護組織內外人員個資,建立對組織的信任
  • 明確組織內管理人員的的管理職責
  • 提升ISO 27001範圍內之隱私保護能力
  • 提升國際形象

總結:

ISO/IEC 27701是ISO/IEC 27001標準的延伸,目的是強化ISMS範圍內的PIMS,提升個人隱私資訊安全,其驗證範圍就只能在原本的 ISO/IEC 27001之內,而組織在通過ISO/IEC 27701驗證後,驗證週期將會與原先通過的ISO/IEC 27001相同。