ISO / IEC 27701 : 2019는 국제 정보 보안 관리 표준 ISO / IEC 27001 (개인 정보 보호 관리를위한 ISO / IEC 27701 및 ISO / IEC 27001 로의 확장-요구 사항 및 지침)에 대한 개인 정보 확장입니다.
ISO 27701은 요구 사항과 PIMS (개인 정보 관리 시스템)를 생성, 구현, 유지 관리 및 지속적으로 개선하기위한 지침을 지정합니다.
ISO 27701은 ISO 27001의 요구 사항, 제어 목표 및 제어를 기반으로하며 일련의 개인 정보 보호 요구 사항, 제어 및 제어 목표를 포함합니다.
EU GDPR (General Data Protection Regulation) 및 영국 DPA (Data Protection Act) 2018 모두 조직이 처리하는 개인 데이터의 기밀성을 보장하기위한 조치를 취할 것을 요구합니다.
그러나 두 규정 모두 이러한 조치의 모양에 대한 많은 지침을 제공하지 않습니다.
따라서 ISO (International Organization for Standardization) 및 IEC (International Electrotechnical Commission)는이 지침을 제공하기 위해이 새로운 표준을 개발했습니다.
이 표준은 GDPR 프레임 워크 내에서 요구 사항을 제시하고 ISO / IEC 27001 및 ISO / IEC 27002 로의 확장 범위 내에서 개인 정보 관리를위한 개인 정보 관리 시스템 (PIMS)을 설정, 구현, 유지 및 지속적으로 개선하기위한 지침을 제공합니다. 반면, PIMS 관련 요구 사항을 결정하고 PII 전문가의 책임과 책임을 담당하는 PII 컨트롤러를 안내합니다. 또한 공공 및 민간 기업, 정부 기관 및 비영리 조직을 포함하여 ISMS 내에서 PII를 처리하는 PII 컨트롤러 및 / 또는 PII 프로세서를 포함하여 모든 유형 및 규모의 조직에 적용됩니다.
산업별 ISO / IEC 27001 변형 스타일에서 ~ 70 페이지 표준은 PIMS 관련 27001 및 27002 표준의 절 차이에 중점을 둡니다.
예를 들면 :
“ISO / IEC 27001 : 2013, 6.1.3.c)는 다음과 같이 수정되었습니다.
ISO / IEC 27001 : 2013의 6.1.3 b)에 규정 된 제어는이 문서의 ISO / IEC 27001 : 2013, 부록 A 및 / 또는 부록 B와 비교하여 필요한 제어를 생략하지 않았는지 확인합니다.
위험을 제거하기 위해 ISO / IEC 27001 : 2013의 부록 A에있는 제어 목표 및 제어의 적용 가능성을 평가할 때 정보 보안 위험 및 처리와 관련된 위험의 맥락에서 제어 목표 및 제어가 고려됩니다. PII 관리자의 위험을 포함합니다. "
기존 정보 보안 관리 시스템을 개선하여 개인 및 조직의 개인 정보 보호 위험을 줄입니다.
이 표준은 고객, 외부 이해 관계자 및 내부 이해 관계자에게 GDP 및 기타 관련 개인 정보 보호법 준수를 지원하기위한 효과적인 시스템이 있음을 보여주는 훌륭한 방법입니다.
GDPR을 준수하기 위해 ISO 27701 인증을 받으려는 조직은 기존 ISO 27001 인증서를 보유하거나 단일 애플리케이션 감사로 ISO 27001 및 ISO 27701을 함께 적용해야합니다. ISO 27701은 ISO 27001에 명시된 요구 사항과 지침을 자연스럽게 확장 한 것입니다.
ISO 27001 표준은 정보 보안 관리 시스템 (ISMS)을위한 프레임 워크를 제공하여 정보의 기밀성, 무결성 및 가용성뿐만 아니라 법적 준수의 연속성을 보장합니다. 전 세계 60.000 개 이상의 조직에서 현재까지 ISO 27001 인증을 받았으며 가장 중요한 자산을 보호하는 데 중요한 부분으로 인증을 받았습니다.
개인 정보 관리 시스템과 정보 보안 시스템 사이의 시스템 및 기술 요구 사항이 크게 충돌하면 ISO 27001 및 ISO 27701을 채택하기가 까다로운 상황이됩니다.
먼저 조직이 표준의 필수 요구 사항을 충족하는지 여부 및 다음 단계로 진행할지 여부가 결정됩니다.
필요한 절차와 감사가 개발되었는지 그리고 기관의 평가 준비 여부가 검토되었는지 확인합니다.
처음 두 단계에서 발생하는 결과가 평가되고 모든 수정 조치가 검토 된 후 문서 준비가 시작됩니다.
약속을 잡거나 자세한 정보를 얻거나 평가를 요청하기 위해 양식을 작성하라고 요청할 수 있습니다.