未分类 GDPR 2021年08月04日
ISO 27001 和 GDPR 之间有什么区别?
ISO 27001 是国际公认的信息安全管理标准。它由国际标准化组织 (ISO) 于 2005 年发布并于 2013 年修订。 ISO 27001 帮助组织建立和维护一组流程,以帮助处理与员工、客户和合作伙伴相关的敏感数据,统称为信息安全管理系统 (ISMS)。
通用数据保护条例 (GDPR) 是一套关于个人数据使用的法律。它于 2018 年生效,适用于处理欧盟人员数据(包括姓名、身份证、医疗和生物识别数据、政治观点等)的所有人。
两者最大的区别在于 GDPR 是一项法律要求。未能按照 GDPR 的要求保护客户数据可能会导致信息专员办公室 (ICO) 的巨额罚款和长期的声誉损害。包括英国航空公司和万豪国际在内的一些大型组织已经因数据泄露而面临巨额处罚。
ISO 27001 和 GDPR 之间的第二个主要区别是意图:ISO 27001 是在 GDPR 生效前几年建立的,因此其主要目的不是为了遵守法规。但 GDPR 的范围实际上更为有限:它仅关注个人数据,而 ISO 27001 则采用更广泛的方法来保护您的数据安全。
超越 GDPR
ISMS 建立的流程旨在帮助您保护所有数据。这包括客户和员工数据,但也扩展到知识产权 (IP)、销售数据、财务信息等。
ISO 27001 可帮助您预测潜在威胁、确定在发生攻击时应采取的措施以及采取预防措施以避免将来出现任何问题,从而帮助您保护此类数据。
虽然您可以在没有 ISO 27001 的情况下建立 ISMS,但维护该标准有助于确保组织在技术和立法变化时努力不断改进其流程。它还向您的客户表明,您在为公共部门投标或与大客户合作时非常重视他们的安全并传达可信度。
ISO 27001 产生的严格数据安全流程非常符合 GDPR 的精神,因此可以帮助您遵守法规。
ISO 27001 如何帮助您遵守 GDPR?
以下是 ISO 27001 可以帮助您遵守 GDPR 的一些方式:
确定 GDPR 合规性方面的差距
ISO 27001 要求组织识别并遵守与信息安全相关的法律要求。这意味着,作为评估您的组织以查看其是否符合 ISO 27001 标准的一部分,您的审核员还必须检查您的组织对 GDPR 的遵守情况。
这意味着他们的报告(其中包括您需要改进以获得认证的领域)将通过扩展确定您不遵守 GDPR 的领域。
ISO 27001 认证流程可以帮助您确定您的组织尚未遵守 GDPR 的领域。这是因为 ISO 27001 要求组织识别并遵守与信息安全相关的法律要求,例如 GDPR。
作为您的第一次评估的一部分,您的审核员将确定您需要改进以满足 ISO 27001 标准的领域。这必然包括您需要改进以符合 GDPR 的领域,因为这是标准的要求。因此,通过努力获得认证,您也将努力实现合规性。
展示您的控制
拥有 ISO 27001 认证可帮助您满足 GDPR 的要求之一。这是因为 GDPR 要求组织证明其具有适当的组织和技术控制措施。某些公认的国际标准或实践准则可用于满足该要求,其中一个标准是 ISO 27001。
超越个人数据
虽然它确实涵盖了您如何处理客户信息,但 ISO 27001 不仅仅涉及保护个人数据。这也意味着您的流程可以保护您的所有信息资产、电子数据和硬拷贝。
关注人和流程
虽然其他认证可能只是检查您的技术,但 ISO 27001 也非常重视人员和流程,知道这些更常见的威胁可能是 GDPR 合规性或严重数据泄露之间的区别。
让您的系统步入正轨
为了遵守 GDPR,定期测试和审计是必不可少的——这就是您证明您的安全性达到标准的方式。幸运的是,如果您符合 ISO 27001,您就已经在定期测试您的 ISMS,因为这也是标准指南的一部分。
被追究责任
GDPR 规定应该有明确的数据保护责任,如果您处理大量个人数据,可能包括任命数据保护官。 ISO 27001 认证意味着您的安全已经嵌入到您组织的文化和结构中,由一名高级人员负责 ISMS。
降低风险
风险管理是 ISO 27001 的关键部分,确保您可以确定组织的优势和劣势所在。定期风险评估肯定会支持 GDPR 合规性。
精益求精
与大多数 ISO 标准一样,认证的明显好处之一是这些流程旨在帮助您不断提高数据安全性。 ISMS 中内置的持续监控和审查意味着您可以高枕无忧,因为您知道您的系统可以在识别和降低风险的同时适应变化。
获得认证
ISO 27001 认证意味着独立评估员已确定您已采取足够的安全措施。这在某种程度上证明,符合 GDPR,您拥有的控件可以正常工作。
遵守 GDPR 还需要什么?
如您所见,ISO 27001 认证在遵守 GDPR 方面非常有帮助。它可以帮助简化流程,每个流程的预期有很多重叠,但仅靠它是不够的。为了遵守 GDPR,您需要确保考虑到:
同意 – 您需要证明人们同意正在处理的个人数据。
被遗忘权——人们需要能够删除或传播他们的个人数据。
反对权——他们也被允许拒绝为直接营销和其他目的处理他们的数据。
国际传输 - 传输数据需要按照欧盟委员会进行。
开始符合 ISO 27001 的 GDPR 合规之旅
拥有 ISO 27001 认证且维护良好的 ISMS 具有许多明显的好处——从填补安全漏洞和降低网络攻击风险到帮助您赢得新业务并在市场中获得竞争优势。但这也是您实现 GDPR 合规性之旅的重要第一步,可帮助您的组织设置降低违规风险所需的数据安全流程,而这正是现在法律所要求的。
如果您想了解有关 ISO 27001 的更多信息、它如何使您的组织受益,以及如何走上认证之路,请查看我们的 ISO 27001 初学者指南。