Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC TS 27006-2:2022 — 信息安全管理体系审核认证机构要求 — 第2部分:隐私信息管理
ISO/IEC TS 27006-2 — 技术规范概述
ISO/IEC TS 27006-2 概述
ISO/IEC TS 27006-2:2022 是一项关键的技术规范,它将认证机构要求框架扩展至隐私信息管理领域。该规范建立在 ISO/IEC 27006(信息安全管理体系审核认证机构要求)的基础上,并与 ISO/IEC 27701(隐私信息管理)保持一致,定义了认证机构对隐私信息管理体系(PIMS)进行认证的具体能力要求、审核流程和认证规则。在隐私法规日益增多的时代——GDPR、CCPA、LGPD、PIPL——对隐私管理实践进行可信、标准化认证的需求从未如此迫切。
TS 27006-2 弥补了通用 ISMS 认证与隐私管理具体要求之间的差距,确保认证机构拥有有效评估组织隐私信息管理实践所需的专业知识。
该规范涉及多个关键领域,这些领域将隐私信息管理认证与传统的 ISMS 认证区分开来。其中包括审核员在隐私法律和法规方面的能力要求、PIMS 特定的审核时长和方法调整、隐私管理体系的多场所抽样考虑,以及 PIMS 认证与现有 ISMS 认证流程的整合。
对于认证机构,TS 27006-2 提供了交付可信 PIMS 认证服务所需的操作框架。对于寻求认证的组织,它提供了认证过程的透明度,并确保认证机构符合一致的能力标准。对于监管机构和利益相关者,它支持对认证体系作为隐私管理能力可靠指标的信赖。
对认证机构的关键要求
隐私审核员的能力要求
TS 27006-2 最重要的贡献是详细规定了参与 PIMS 认证的人员的能力要求。这些要求远超 ISO/IEC 27006 中定义的通用 ISMS 审核员能力:
| 能力领域 | 具体要求 | 证明方法 |
|---|---|---|
| 隐私法律与法规 | 适用的隐私法律(GDPR、CCPA 等)、监管解释和执法趋势的知识 | 正式培训记录、专业认证(CIPP、CIPM)、法律资格、隐私合规实践经验 |
| 隐私信息管理 | 对 PII 识别、隐私风险评估、数据保护影响评估(DPIA)、隐私设计原则的理解 | 参与 PIMS 实施或审核、DPIA 引导经验、记录的隐私风险评估工作 |
| 数据处理技术 | 数据处理系统、数据生命周期管理、匿名化/假名化技术、数据泄露检测的知识 | 技术培训、系统实施经验、事件响应参与 |
| 跨境数据传输 | 对国际数据传输机制(SCC、BCR、充分性决定)、司法管辖区差异的理解 | 多司法管辖区审核经验、相关传输机制及其要求的了解 |
| 隐私工程 | 隐私增强技术、加密、访问控制、隐私设计和默认保护的知识 | 工程背景、专门的隐私培训、隐私控制实施的实践经验 |
TS 27006-2 制定过程中发现的一个常见挑战是,缺乏同时具备信息安全、隐私法律和数据处理技术专业知识的审核员。鼓励认证机构通过多学科团队组成来发展能力,而非要求单个人员具备所有能力。
隐私审核的流程调整
TS 27006-2 规定了对标准 ISMS 审核流程的多项调整,这些调整是实现可信 PIMS 认证所必需的:
| 审核要素 | ISMS 审核 (ISO/IEC 27006) | PIMS 审核 (TS 27006-2) |
|---|---|---|
| 审核时长 | 基于 ISMS 范围、员工数量、复杂性 | 隐私特定控制需要额外时间(通常比相同范围的 ISMS 审核多 15-30%) |
| 文档审查 | ISMS 政策、风险评估、适用性声明、内审报告 | 另外包括:PIMS 政策、PII 清单、DPIA 记录、隐私声明、同意管理记录、数据主体请求程序 |
| 控制测试 | 附录 A 控制选择 | 另外包括:ISO/IEC 27701 PIMS 特定控制、隐私控制有效性、数据主体权利实施 |
| 多场所抽样 | 基于 ISMS 标准抽样方法 | 必须包括涉及重大 PII 处理的场所;必须考虑场所间的跨境数据流 |
| 不符合项分类 | 不符合项、观察项、改进机会 | 另外包括:隐私特定的不符合项类别(如同意缺陷、数据主体请求失败、违规通知延迟) |
在认证机构运营中实施 TS 27006-2
对于实施 TS 27006-2 的认证机构,主要挑战是建立和维护 PIMS 认证所需的专业能力。推荐的方法包括建立由具有隐私专业知识的人员管理的专门隐私认证方案,开发针对额外 PIMS 控制的专业审核协议和检查表,以及实施确保所有 PIMS 审核员保持对不断变化的隐私法规的最新知识的能力管理流程。
该规范还涉及 ISMS 和 PIMS 认证之间的关系。组织可以寻求 ISMS/PIMS 整合认证(两种管理体系同时接受审核)或独立的 PIMS 认证。TS 27006-2 为这两种情况提供了要求,包括在 PIMS 认证中利用 ISMS 审核证据的规则,反之亦然。
对于已经提供 ISMS 认证的认证机构,根据 TS 27006-2 增加 PIMS 认证是服务的自然延伸。整合方法通常提供运营效率,同时为寻求全面信息和隐私管理认证的组织带来更大价值。
对于寻求 PIMS 认证的组织,了解 TS 27006-2 有助于对认证过程建立合理的期望。组织应为审核员深入探究隐私实践做好准备——检查数据映射的完整性、DPIA 的质量、同意管理的有效性、数据主体请求的处理以及违规响应程序。审核将需要证明隐私设计原则已整合到系统开发过程中,并通过隐私信息管理体系展示了问责制。
TS 27006-2 还强调了 PIMS 认证中公正性和利益冲突管理的重要性。鉴于隐私信息的敏感性以及认证机构可能同时提供隐私咨询服务的潜在可能性,该规范强化了认证与咨询活动之间明确分离的要求,以维护认证过程的完整性。
随着全球隐私法规的持续演变,TS 27006-2 将在建立可信的认证计划方面发挥越来越重要的作用,这些计划为组织提供其隐私管理能力的可信证明。该规范代表了朝着协调跨司法管辖区的隐私认证实践和建立对隐私信息管理体系的全球信心迈出的重要一步。
常见问题解答
问1:TS 27006-2 认证对于 ISMS 认证机构是强制要求的吗?
答:不是。TS 27006-2 是一项技术规范,专门针对 PIMS 认证提供要求。不提供 PIMS 认证的 ISMS 认证机构不需要遵守。但是,任何提供 PIMS 认证的机构都应遵循 TS 27006-2,以确保认证的可信度和一致性。
答:不是。TS 27006-2 是一项技术规范,专门针对 PIMS 认证提供要求。不提供 PIMS 认证的 ISMS 认证机构不需要遵守。但是,任何提供 PIMS 认证的机构都应遵循 TS 27006-2,以确保认证的可信度和一致性。
问2:TS 27006-2 与 ISO/IEC 27701 有何关系?
答:ISO/IEC 27701 定义了隐私信息管理体系(PIMS)的要求——组织必须做什么。TS 27006-2 定义了认证机构对 ISO/IEC 27701 符合性进行认证的要求——认证机构必须如何运作。两者是互补的:一个定义了管理体系标准,另一个定义了认证机构要求。
答:ISO/IEC 27701 定义了隐私信息管理体系(PIMS)的要求——组织必须做什么。TS 27006-2 定义了认证机构对 ISO/IEC 27701 符合性进行认证的要求——认证机构必须如何运作。两者是互补的:一个定义了管理体系标准,另一个定义了认证机构要求。
问3:根据 TS 27006-2,PIMS 审核员必须拥有哪些资格?
答:PIMS 审核员必须具备 ISMS 审核员资格(根据 ISO/IEC 27006),外加在隐私法律、隐私信息管理、数据处理技术、跨境数据传输机制和隐私工程方面的额外能力。该规范允许多学科审核团队覆盖所有所需能力领域。
答:PIMS 审核员必须具备 ISMS 审核员资格(根据 ISO/IEC 27006),外加在隐私法律、隐私信息管理、数据处理技术、跨境数据传输机制和隐私工程方面的额外能力。该规范允许多学科审核团队覆盖所有所需能力领域。
问4:TS 27006-2 可以用于内部审核计划吗?
答:虽然该规范是为第三方认证机构设计的,但 TS 27006-2 中的能力要求和审核方法论可以为进行内部 PIMS 审核的组织提供有价值的指导。内部审核团队在建立内部审核能力时应考虑规范中定义的能力领域。
答:虽然该规范是为第三方认证机构设计的,但 TS 27006-2 中的能力要求和审核方法论可以为进行内部 PIMS 审核的组织提供有价值的指导。内部审核团队在建立内部审核能力时应考虑规范中定义的能力领域。
