29、从ISO/IEC 27002:2013到个人数据保护控制

从ISO/IEC 27002:2013到个人数据保护控制

在当今数字化时代，个人数据保护变得至关重要。通用数据保护条例（GDPR）的生效对组织处理个人数据提出了严格要求，但许多组织仍未充分意识到其潜在影响，也未做好合规准备。

1. GDPR合规现状

近期调查显示，不到一半的隐私专业人士表示其组织完全符合GDPR要求，近20%的人认为完全合规是不可能的。组织在满足数据主体的删除权（“被遗忘权”）方面面临巨大挑战，53%的受访者将其列为实现GDPR合规的最大难题，其次是数据保护设计与默认原则（42%）和处理活动记录（39%）。

2. ISO 27001和ISO 27002标准

2.1 ISO 27001标准

ISO 27001旨在为信息安全管理、风险管理和安全措施提供良好实践建议。它规定了在组织整体业务风险背景下，建立、实施、运行、监控、审查、维护和改进文档化信息安全管理体系（ISMS）的要求。该标准适用于各种类型、规模和业务活动的组织。

2.2 ISO 27002标准

ISO 27002提供了一系列控制措施和良好实践，可作为选择和实施信息安全措施的指南。ISO 27001的附件A与ISO 27002完全一致，它们共同列出了ISMS至少应涵盖的安全模块、控制目标和控制措施。ISO 27001对每个控制措施进行简要描述，而ISO 27002则详细解释并提供实施的良好实践。

2.3 ISO 27001认证的作用

ISO 27001认证有助于组织提高业务效率，保护个人数据和硬件等宝贵资产，维护员工和组织的声誉，并促进合规目标的实现。由于其广泛认可，且缺乏G