ISO/IEC 27701:2019:隐私信息管理
ISO/IEC 27701:2019 概述
ISO/IEC 27701:2019 旨在补充广泛使用的 ISO/IEC 27001 和 ISO/IEC 27002 信息安全管理标准。 它为 PIMS) (隐私信息管理系统指定了要求和指导,使 PIMS 的实施成为许多依赖于 ISO/IEC 27001 的组织有用的合规性补充,并创建一个强大的集成点来协调安全和隐私控制。 ISO/IEC 27701 通过用于管理个人数据的框架来实现此集成,该框架可供数据控制者和数据处理者使用,这是一般数据保护条例 (GDPR) 合规性的关键区别。
此外,任何 ISO/IEC 27701 审核都要求组织在其审核标准中声明适用的法律/法规,这意味着该标准可以映射到 GDPR、加州消费者隐私法 (CCPA) 或其他法律中的许多要求。 映射后,由隐私专业人员实施 ISO/IEC 27701 操作控制。 经认证进行评估的内部或外部第三方随后评估组织是否符合标准要求,并颁发证书。 此通用框架使组织能够有效地实现符合新的法规要求。 Microsoft 赞助开源 数据保护映射项目 ,以共同了解 ISO/IEC 27701 与各种数据保护法规之间的关系。
Microsoft 范围内的云平台和云服务
Azure ISO/IEC 27701 证书上显示了范围内的 Microsoft 联机服务:
- Azure (有关详细见解,请参阅 Azure ISO/IEC 27701 产品/服务)
- Dynamics 365 (有关详细见解,请参阅 Azure ISO/IEC 27701 产品/服务)
- Microsoft Defender XDR (不在Azure 政府) 范围内
- Microsoft Bing 商务版 (不在Azure 政府) 范围内
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Graph
- Microsoft Intune
- Microsoft 托管桌面(不在 Azure 政府范围内)
- Microsoft Stream
- Microsoft 威胁专家(不在 Azure 政府范围内)
- Office 365、Office 365 美国政府版和 Office 365 美国政府国防部版
- Power Apps
- Power Automate
- Power BI
- Power BI Embedded
- Power Virtual Agents(不在 Azure 政府范围内)
- 通用打印 (不在Azure 政府) 范围内
- Windows 365
Azure、Dynamics 365和 ISO 27701
有关 Azure、Dynamics 365和其他联机服务合规性的详细信息,请参阅 Azure ISO 27701:2019 产品/服务。
Office 365 和 ISO 27001
Office 365环境
Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。
本部分介绍以下Office 365环境:
- 客户端软件(客户端):客户设备上运行的商业客户端软件。
- Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
- Office 365 政府社区云 (GCC):Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
- Office 365 政府社区云 - 高 (GCC High):Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
- Office 365 DoD (DoD):Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。
使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。
你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。
Office 365 适用性和范围内的服务
使用下表确定 Office 365 服务和订阅的适用性:
| 适用性 | 范围内服务 |
|---|---|
| 商业 | Access Online、Microsoft Entra ID、Azure 通信服务、合规性管理器、客户密码箱、Delve、Exchange Online Protection、Exchange Online、Forms、Griffin、Identity Manager、Lockbox (Torus) Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 高级合规版加载项、Office 365客户门户Office 365微服务 (包括但不限于 Kaizala、ObjectStore Sway、PowerPoint Online 文档服务、查询注释服务、学校数据同步、Siphon、语音、StaffHub、eXtensible Application Program) 、Office 365 Security & Compliance Center、Office Online、Office Pro Plus、Office Services 基础结构、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI Project Online、使用 Microsoft Purview 客户密钥进行服务加密、SharePoint Online、Skype for Business、Stream |
| GCC | Microsoft Entra ID、Azure 通信服务、合规性管理器、Delve、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 高级合规版加载项Office 365安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream |
| GCC 高级 | Microsoft Entra ID、Azure 通信服务、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 高级合规版加载项Office 365安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online Skype for Business |
| DoD | Microsoft Entra ID、Azure 通信服务、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 高级合规版加载项Office 365安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、Power BI、SharePoint Online Skype for Business |
Office 365 审核、报告及证书
Microsoft 云和商业技术支持服务每年针对 ISO/IEC 27701 的认证过程进行一次审核。
常见问题解答
ISO/IEC 27701 如何帮助满足不断变化的法规要求?
ISO/IEC 27701 包括一个附录,其中包含与适用于控制者和处理者的 GDPR 中相关要求对应的标准运营控制措施。 此映射只是如何相对于 ISO 框架实施隐私法规的示例。 随着与其他法规的附加对应变得可用并得到验证,该标准中的运营控制措施可直接从法规审查转移到实施。 此通用框架允许组织可靠地实现相关的法规要求。
ISO/IEC 27701 如何帮助降低审核成本?
随着各司法辖区施加更多的隐私法规要求,提供合规性证据的压力也会增加。 但是,如果每项法规都有各自独特的审核,则完全不同的法规认证的成本将高得令人乍舌。 ISO/IEC 27701 概述了一组通用操作控制措施,还概述了一个通用合规性框架,用于审核和认证多个法规要求。
必须认识到,建立官方 GDPR 认证需要获得欧洲监管机构的批准。 虽然 ISO/IEC 27701 与 GDPR 之间的一致性是显而易见的,但 ISO/IEC 27701 认证不应被视为 GDPR 合规性或官方 GDPR 认证的证据,直到最终确定法规决定。
ISO/IEC 27701 如何帮助处理涉及 PII 的商业协议?
涉及个人信息移动的商业协议可能保证合规性认证。 现代组织都采用深层网络与各业务合作伙伴进行复杂的数据传输,这包括合作伙伴组织或联合控制者、云提供商等处理者,以及下层处理者(如支持那些相同处理者的供应商)。 如果该网络中的任一部分未能遵守法规,都有可能导致整个供应链出现一连串的合规性问题。 在这种情况下,验证合规性可能对这些组织间按合同条款提供的保证非常有用。 由于全球经济决定了这些组织中的大多数都分布在世界各地,因此使用 ISO 的国际标准来管理整个网络的合规性是可行的。
对合规性的这种依赖提高了对标准进行认证的重要性。 虽然并非所有公司和组织都需要获得此类认证,但他们大多数都会从获得认证的合作伙伴和供应商那里受益,尤其是涉及到敏感数据或大量数据处理时更是如此。
ISO/IEC 27701 与 ISO/IEC 27001 有何关系?
ISO/IEC 27701 建立在 ISO/IEC 27001 的基础上,ISO/IEC 27001 是信息安全管理最广泛采用的国际标准之一。 如果你的组织已经熟悉 ISO/IEC 27001,那么集成 ISO/IEC 27701 提供的新隐私控制措施是合乎逻辑的且更高效的。 此方法意味着两者的实现和审核成本更低,并且更容易实现。 ISO/IEC 27701 和 ISO/IEC 27001 的要点:
- ISO/IEC 27001 是世界上最常用的 ISO 标准之一,许多公司已对其进行了认证。
- ISO/IEC 27701 包括新的特定于控制器和处理器的控制,可帮助弥合隐私和安全性之间的差距。 它提供了组织中的两个单独功能之间的集成点。
- 隐私依赖于安全。 同样,ISO/IEC 27701 依赖于 ISO/IEC 27001 进行安全管理。 ISO/IEC 27701 认证必须作为 ISO/IEC 27001 认证的扩展获得,不能单独获得。
你的组织应如何使用 ISO/IEC 27701?
无论你的组织规模如何,无论是控制者还是处理者,你的组织都应该考虑为自己的组织申请认证,或者根据业务需求向供应商或供应商申请认证。 这种情况尤其适用于处理敏感或大量个人数据的处理者、子处理者和共同控制者。 组织应评估其业务需求,以确定其自己的产品和服务的认证是否合适。
使用 Microsoft Purview 合规性管理器评估风险
Microsoft Purview 合规性管理器是Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况,并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估。