如果你认为“我符合 ISO 27001 标准……” 所以,我几乎符合 GDPR 要求。” 好吧,你不是!这是一个常见的误解,我们将在本文中告诉你原因。
对两者常见的理解
《通用数据保护条例》(GDPR) 涉及保护欧盟 (EU) 数据主体(个人)的隐私权,而 ISO 27001 则涉及提供持续改进组织的信息安全管理系统 (ISMS) 的措施。
在开始 ISO 27001 与 GDPR 比较之前,我们先来了解一下 ISO 27001 和 GDPR 是什么。
什么是 ISO 27001?
ISO 27001侧重点
ISO 27001 强调数据保护ISO 数据保护侧重于:
信息安全管理
更换管理层
公司流程
员工流程
人力资源流程
安全与加密
ISO 27001 反映了企业在安全和数据保护方面的成熟度,并表明他们致力于投入时间、资本和资源来持续维护它。
它还使组织能够预见他们可能承担的安全风险并帮助他们进行规划。以下是 ISO 27001 核心原则的总结
资产管理
组织应识别他们处理的不同信息资产,并分配安全措施以在受保护的环境中管理这些资产。该原则侧重于资产清单、资产的可接受使用、所有权和资产返还。
访问管理控制
操作安全
事件管理
无论企业的防御措施如何,安全事件/网络攻击都无法避免。ISO 27001 要求组织制定适当的政策和程序来处理安全事件。为此,
每个希望获得 ISO 27001 认证的企业都必须:
定义主要工作是处理安全事件的角色
识别并报告其业务环境中可能导致安全事件的所有漏洞
定义一个流程来评估事件的性质和影响(如果发生)
部署预定义的事件响应计划(违规通知加风险缓解)
记录事件发生期间和之后你的学习情况
收集可能与事件相关的所有证据
概要
ISO 27001 帮助企业增强安全措施,以保护自己免受任何可能造成潜在危害的风险。它旨在将业务需求置于其处理的个人数据之前。
相比之下,GDPR 侧重于保护数据主体免受企业侵害的权利。GDPR 和 ISO 27001 之间的差异很容易被忽视,因为它们有重叠的相似之处。让我们仔细看看 GDPR 法律。
如何学习ISO 27001?学习IAPP课程并得到业内的专业认证的认可,我是否满足考试资格?戳戳下方立即评估!
什么是 GDPR?
GDPR 法于 2016 年 5 月推出,并于 2018 年起全面生效。GDPR旨在保护数据主体(个人)的权利和自由以及组织在处理数据主体(个人)的个人信息时应实施的措施和政策。GDPR 通过七项原则解释了这一点:
合法、公平、透明
企业必须合法获取数据。他们必须对用户透明地告知他们打算如何处理它以及打算使用它多长时间,并且用户不应在任何这些方面受到误导。
目的限制
企业必须出于特定的既定目的收集数据,之后不得仅仅因为仍然可以访问数据而将其处理用于任何其他处理活动,并且数据收集过程不得非法。
数据最小化
在收集敏感个人信息时,企业应仅收集其数据处理活动所需的数据集。
准确性
企业有责任保存和处理准确的数据。当数据主体报告不准确或请求更改其数据时,公司自请求之日起有三十天的时间实施更改。
存储限制
根据 GDPR 法律,企业存储数据的时间不得超过最初预期。
完整性和保密性(安全)
企业必须采取必要的措施,确保数据主体的个人信息不会被未经授权的用户(内部和外部)访问。
问责制
所有处理敏感个人信息的控制者和处理者在处理欧盟公民和居民的个人数据时必须证明 GDPR 合规性。
概要
GDPR 的重点完全是保护欧盟地区数据主体的权利和自由。GDPR 原则列出了组织在处理个人数据时应遵循的注意事项。数据主体还被赋予权利,使他们能够控制其个人数据的处理方式。决定多少数据处理是侵入性的权力掌握在用户手中,并拥有删除权和准确性权。
如何学习充分了解欧盟隐私合规法?学习CIPP/E课程,其重点关注隐私法律法规的实际应用,了解欧洲数据保护导论、欧洲监管机构等知识及考核
GDPR 与 ISO 27001 有何差异?
这是 GDPR 与 ISO 27001 的比较
GDPR 和 ISO 27001 之间的区别
GDPR 和 ISO 27001的侧重点
GDPR 旨在保护个人信息的
自由和权利以及敏感数据的流动
GDPR强调合法的数据收集,让用户明确同意共享信息,遵循GDPR的七项原则处理用户数据,并在需要时任命数据保护官(DPO)。ISO 27001 中没有具体说明这些内容。
ISO 27001 旨在帮助组织
保护其数据的安全性和完整性
其目的是制定并帮助组织满足建立、实施、持续监控和改进其 ISMS 的全球要求。
ISO 27001 中谈到了安全性,但重点更多的是保护组织的信息资产。当GDPR谈论安全时,它是从关注个人数据安全的角度出发的。但这仍然不是 GDPR。
GDPR 中涉及安全的七项原则之一
GDPR 七项原则中只有一项谈到安全性,大约占 14%。其余七项原则详细介绍了如何处理用户数据的其他方面以及确保数据主体的隐私和完整性始终不受影响的规定。
风险的定义
GDPR 法律中的风险并未讨论企业在处理个人信息时所承担的风险,而是强调用户所面临的风险(基本权利和自由的风险)。同时,ISO 27001 和 ISO 27002(构成ISO 27001 控制措施的信息安全指南集合)讨论了组织在数据处理活动期间承担的风险。
采用
GDPR 是强制性的,因此适用于欧盟的公司。相比之下,ISO 27001 是自愿性的。
处罚
如果你的业务属于GDPR 范围,你将需要遵守。违规成本很高,行政罚款高达 2000 万美元或企业年营业额的 4%(以较高者为准)。另一方面,如果你不符合 ISO 27001,则不会受到处罚。
ISO 27001 是否涵盖 GDPR?
ISO 27701 并
不是 ISO 推出的独立框架
在线客服
微信
