标准简介
《通用数据保护条例》(GDPR)是欧盟于 2018 年 5 月 25 日生效的全面数据隐私法。它规范组织如何收集、使用、存储、共享和保护欧盟和欧洲经济区(EEA)内个人的个人数据。尽管是欧盟法规,GDPR 具有域外效力——全球任何处理欧盟居民个人数据的组织都必须遵守。该法规从根本上改变了全球数据隐私方法,赋予个人对其个人信息前所未有的控制权,并对数据控制者和处理者施加严格的问责要求。
GDPR 建立在七项核心原则之上:合法性、公平性和透明度;目的限制;数据最小化;准确性;存储限制;完整性和保密性;以及问责制。组织必须有合法的处理依据(如同意、合同、法律义务或合法利益),实施适当的技术和组织措施以确保数据安全,对高风险处理进行数据保护影响评估(DPIA),在需要时任命数据保护官,并在 72 小时内向监管机构报告数据泄露事件。不合规可能导致最高 2000 万欧元或全球年营业额 4% 的罚款,以较高者为准。该法规还赋予个人权利,包括访问权、更正权、删除权(被遗忘权)、数据可携带权以及反对处理权。
shield
范围
适用于所有规模和行业的组织,涵盖保密性、完整性和可用性的保护。
account_tree
结构
遵循高级结构(HLS),确保与其他 ISO 管理标准(如 ISO 9001)的无缝集成。
verified
认证
组织在成功完成 ISMS 的外部审核后,可以获得认可的认证。
list_alt 核心要求(第 4-10 条)
- 组织的环境
- 领导力与承诺
- 规划与风险评估
- 支持与意识
- 运营
- 绩效评估
- 持续改进