2020 年,巨额罚款接踵而
至。高达 2000 万英镑的罚款给英国航空带来了动荡,原因是该公司处理了大量个人资料由于缺乏“足够的安全措施”,万豪国际集团因未能保证数百万客户记录的安全而被处以 1840 万英镑的罚款,而 Ticketmaster 则因“未能采取适当的安全措施防止对聊天机器人的网络攻击”而被处以 125 万英镑的罚款。
在撰写本文时,这些是自 GDPR 颁布 手机号码数据 以来 ICO 发出的唯一罚款,它们都可以通过一个词内在地联系在一起——安全。
因此,安全认证(尤其是 ISO 27001)近年来急剧增长也就不足为奇了。
ISO 27001 是信息安全的国际标准,概述了组织建立信息安全管理系统 (ISMS) 来管理其人员、流程和技术的最佳实践方法。
虽然这一切听起来都很好,但还是引发了人们的猜测,认为仅仅拥有认证就意味着组织符合 GDPR 要求。剧透警告:事实并非如此。
然而,认证仍然有明显的好处。因此,对于考虑获得 ISO 27001 认证的组织,值得了解它与 GDPR 之间的相似之处和不同之处,以更好地了解它如何帮助您的组织实现合规性。
相似之处
- 处理安全
说到相似之处,显而易见的起 如何选择合适的seo公司 点是《GDPR》第 32 条– 处理安全性。第 32 条要求组织实施、操作和维护适当的技术和组织安全措施来保护个人信息。但是,除了引用一些控制措施(例如加密和数据访问)外,该条款并未提供有关如何实现相应安全措施的详细指导。
幸运的是,ISO 27001可以填补空白,要求组织证明其符合14个类别的多达114个安全控制措施。它涵盖的措施远远超出了GDPR中提到的范围,例如人力资源安全、通信安全、资产管理和物理安全;实施这些措施将使任何组织都能顺利通过第32条的测试。
- 风险评估
GDPR 的另一项要求是需要进
行风险评估,这项要求甚至会让那些精通数据保护的人也感到恐惧和焦虑。
GDPR 是一部基于风险的立法,它尽职尽责地告知我们,我们必须进行风险评估,以便能够选择适当的安全措施(第 32 条),评估数据泄露的严重程度(第 33 条和第 34 条),并确定新项目的下一步行动(第 35 条– 数据保护影响评估)。然而,该立法并没有告诉我们如何评估风险。
另一方面,ISO 27001 要求组织建立风 最新评论 险评估框架,然后系统地解决整个组织的信息风险和控制问题,这包括隐私和合规方面,但也超出了隐私和合规方面。因此,理论上,获得 ISO 27001 认证的人应该能够更好地评估风险发生的可能性以及风险发生时的影响,而不必担心高估风险,或者更糟的是低估风险。
-
数据共享
GDPR 与 ISO 27001 之间的另一个联系涉及数据共享。虽然 GDPR 要求组织保护其与数据处理器、联合控制者和共同控制者(尽管后者在立法本身中没有具体规定),ISO 27001 要求组织保护供应商可访问的资产——包括将信息安全纳入供应商协议。
除了上面讨论的三点之外,两者还有许多其他共同点,包括数据泄露/安全事件的报告;GDPR 的“隐私设计”要求和 ISO 27001 的 A.14;以及 ISO 27001 要求组织拥有相关立法和监管要求清单的事实——GDPR 显然是其中之一。然而,至关重要的是,由于缺乏更好的词汇,这两个“标准”之间存在关键差异,必须承认这一点。