ISO 27001安全员和DPO之间有什么不同的职责？

随着信息化水平的不断提高，信息安全逐渐成为人们关注的焦点，全球都在探寻如何保障信息安全的问题，欧洲各国均开始制定了有关信息安全的本国标准。

1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：

1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准。

1998年英国公布标准的第二部分《信息安全管理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，它是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证的根据。

2000年，ISO国际标准化组织在BS7799-1的基础上制定通过了ISO17799标准。

2000年12月，BS7799-1：

1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准ISO 17799：

2002年，BSI对BS7799-2：2000《信息安全管理体系规范》进行了改版，发布了BS7799-2：

2005年10月，BS7799-2：2002通过了国际标准化组织ISO的认可，正式成为国际标准ISO27001：

ISO27001:2013版2013年10月19日正式颁布。

ISO国际标准化组织公布ISO27001:2013 的正式版本的颁布时间为2013年10月19日，在新版公布后的18至24个月内是转换缓冲期，即原有已取得证书的企业最迟需要在2015年10月19日前转换到新版标准。

如果您是ISO 27001的从业者，那么您是经过培训的专业人员，可以建立，实施，维护和持续改进风险管理的信息安全管理系统（ISMS），可能已经知道，您的许多技能和专长对于实施EU GDPR也很有用。

因此，为了增加您的工作机会，您可能想知道您的知识是否足以满足GDPR的数据保护官员（DPO）的要求，或者是否缺少一些需要接受额外教育的知识。

主要区别是什么？

首先，必须明确的是，我们正在处理两个具有特定角色，职责和数据保护方法的不同专业角色，ISO 27001专家与DPO之间的主要区别之一是，ISO 27001中没有明确提到前者的角色，之所以出现这些角色，是因为实施ISO 27001中设置的安全标准非常复杂。

ISO 27001安全员和DPO之间有什么不同的职责？

在解释更多细节之前，让我们弄清楚为什么这两个角色应该分开，ISO 27001认证专家完全参与与所有业务流程相关的风险管理。

他在公司活动中管理，培训和协调信息安全的各个方面。

数据保护人员则扮演不同的角色，DPO是数据主体，数据控制者和监管机构之间的中间和独立角色，他/她就根据GDPR和成员国的数据保护法律和法规所承担的义务向控制者和处理者提供建议，他检查与其他联盟或会员国数据保护条款是否符合GDPR以及控制者或处理者在保护个人数据方面的政策，包括职责分配，提高认识和培训处理过程中的员工操作以及相关的审核，DPO还应要求提供有关数据保护影响评估的建议，并根据GDPR第35条监控其绩效。

在检查或事先咨询的情况下，DPO将与监管机构合作

GDPR要求指定DPO的依据是他/她的专业素质和数据保护法律和惯例的专业知识，以及完成第39条中提到的所有任务的能力，因此，法律专业知识和知识对于选择DPO至关重要，因为他/她将成为数据主体行使其权利并与监管机构打交道的参考。

如何克服这一差距– ISO 27001安全员需要做什么

如果您是ISO 27001的从业者，您可能已经对EU GDPR的法律要求有一定的一般了解，但是您可能缺乏所需的深入知识，或者（如果您的目标是为公共机构工作）行政规则和程序组织的。

您可能还缺乏平衡权利和利益，调查解释以正确实施EU GDPR要求以及与监管机构打交道的能力。

您可能会考虑对额外的教育进行投资，以弥补您的知识空白，可以考虑在GDPR上参加一些课程-其中一些课程可能在线上，可以参加关于GDPR的网络研讨会，也可以考虑参加有关GDPR特定方面的研讨会，如果您需要有关GDPR内容或其解释的更多信息，则可以考虑购买一些学术书籍或论文。

在意大利，地区行政法院于2018年做出判决，强调当公共机构发布公开竞争以分配DPO时，被认证为ISO 27001审核员或首席审核员不能视为强制性要求工作，法院对欧盟GDPR和WP29小组进行了分析，并强调指出，重点应放在法律知识上，而不是ISO 27001审核员或ISO 27001首席审核员认证所评估的技能。