伴随着信息技术的不断发展,人们越来越重视网络信息安全。世界上许多国家和地区都出台了一系列个人隐私保护法律法规,如欧盟GDPR、中国互联网安全法和香港私人信息条例。目前,几乎所有组织都处理了个人信息(PII)。
2019年8月6日,国际标准化组织(ISO)和国际电工委员会(IEC)正式发布ISO/IEC27701私人信息信息系统规范。这表明网络信息安全、私人信息和个人信息保护在国际法律法规中显示出一致的标准。
ISO/IEC27701是ISO/IEC27001和ISO/IEC27002在管理工作方面的拓展,希望通过新的需求提升已有的网络信息安全智能管理系统(ISMS),进而创建、执行、日常维护持续改善私人信息信息系统(PIMS)。本规范简述了主要用于个人鉴别信息内容(PII)控制板和PIICpu的私人信息操纵风险管理框架,以尽可能减少私人信息的各类风险性。
1.关键术语解释
PII:个人可鉴别信息内容,指a)可鉴别PII行为主体一切信息或b)与PII行为主体直接和间接相关的内容
PIMS:私人信息信息系统
2.ISO27701构造成分
ISO27701是ISO27001和ISO27002在私人信息等方面的拓展。伴随着ISO27001和ISO27002,ISO27701还提供了个人隐私保护的其他手册。全篇主要分为8章和6个附则。关键要求及具体指导都集中在第5-8章。
第5章介绍了ISO27001中的PIMS拓展明文规定及其本规范对PIMS的附加明文规定。第6章叙述了PIMS拓展和ISO27002的附加明文规定。这两章内容主要用于PII控制板和CPU。构造与控制域与原始规范一致,包括ISO27002中的14个操纵域和114个操纵项。
第7章是PII控制板的附加手册,共有31个控件,第8章是PICpu的附加手册(共有18个控件)。这两章对PII的收集和解决、PII行为主体的责任义务、设计方案私人信息和默认私人信息及其PII的共享、传送和公布进行了相对应明文规定。
通常,本规范通过ISO27001中的PDCA及其第5章和第6章将ISO27002和其他PIMS操纵项目引入系统,以形成完整的信息内容安全和隐私智能管理系统。此外,第7章和第8章分别从数据生命周期的角度增加了PII控制板和Cpu的控制明文规定。
ISO27701拓展了ISO27001的需求,在原有ISMS流程的管理、执行、运行、监控、审核和持续改善的基础上,密切关注公司拥有PI的个人隐私保护。同时,ISO27701解释并拓展了ISO27002实施指南中的私人信息。
PII私人信息实施指南已添加到除业务连续性以外的全部操纵域。从PII控制板和PIICpu的角度来看,ISO27701补充了收集和解决PII的条件、PII行为主体个人隐私保护义务、设计方案私人信息和默认私人信息,及其PII共享、传送和公布的相关规定。
伴随着数据时代的来临,数据信息处理越来越普及。对于PII解决,人们在享受智能化所带来的诸多便利的前提下,也面临着PII智能化带来的损失。
作为一种国际通用的隐私数据可视化工具,PIMS可以有效的帮助企业市场营销与分析私人信息风险性,采取措施将降低风险到可以接受的水准并维持这一水准,并在管理和技术方面创建个人隐私保护体系,让企业可以满足中国与国际监管合规明文规定。同时,私人信息信息系统的建设在很大程度上也是公司个人隐私保护能力的体现,可以增强公司与消费者、战略合作伙伴乃至监管部门相互之间的相互信任。
高科技和大数据的广泛应用已成为当今时代的背景,人们在享受日趋便利的生活的同时,也受到个人隐私信息广泛泄露而带来的负面影响。隐私信息的保护开始受到各国的关注,全球多个国家和地区相继出台了一系列隐私保护的法律法规,例如欧盟的GDPR,中国的网络安全法,以及香港的个人隐私条例等。2019年8月ISO组织也正式发布了ISO/IEC 27701安全技术——扩展ISO 27001和ISO 27002的隐私信息管理体系要求和指南。
ISO/IEC 27701是对ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隐私扩展,全称《安全技术—扩展ISO/IEC 27001和ISO/IEC 27002的隐私信息管理—要求与指南》。它是ISO标准委员会以ISO 27001为基准,以ISO 27552为蓝本,建立发布的隐私信息管理体系标准,为保护个人隐私提供指导。ISO/IEC 27701标准的发布,填补了隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并且对PII控制者和PII处理者进行了较为详细且落地性强的规定,给企业在隐私保护和信息安全方面给出了指导建议。ISO/IEC 27701标准的正文由8个条款组成,内容如下:
• 条款1 范围
• 条款2 规范性引用文件
• 条款3 术语、定义和缩写
• 条款4 总则
• 条款5 给出了ISO 27001相关的PIMS要求
• 条款6 给出了ISO 27002相关的PIMS指南
• 条款7 给出了针对PII控制者的ISO 27002扩展指南
• 条款8 给出了针对PII处理者的ISO 27002扩展指南
• 附录A 针对PII控制者的PIMS特定的控制目标和控制措施
• 附录B 针对PII处理者的PIMS特定的控制目标和控制措施
• 附录C 与ISO/IEC 29100的映射关系
• 附录D 与GDPR的映射关系
• 附录E 与ISO/IEC 27018和ISO/IEC 29151的映射关系
• 附录F 如何在ISO/IEC 27001和ISO/IEC 27002的基础上实施ISO/IEC 27701
标准设计借助更多的要求增强现有 ISMS,以建立、实施、维护和持续改进隐私信息管理体系 (PIMS)。标准概述了适用于个人身份信息 (PII) 控制者和 PII 处理者的框架, 以有效管理隐私控制,降低个人隐私权面临的风险。它适用于所有类型和规模的组织,包括公共和私营公司、政府实体以及非盈利组织。
满足合规要求
通过明确对PII处理者生命周期的隐私保护要求,可以明确隐私保护管理合规目标,减轻组织合规负担的同时降低组织合规风险,通过体系认证来满足来自不同国家和地区的多项隐私法规和政策的合规要求。
完善数据安全和隐私风险管理:
提高组织管理数据安全和隐私风险的能力,通过流程分析,在流程的输入、输出、控制各个环节中,识别、分析、验证隐私保护需求,减少甚至消除隐私泄露的风险。
增强相关方对个人信息管理的信任:
业务伙伴通常会要求PII处理者提供相关证据,来证明其产品能符合适用的隐私管理体系要求。通过得到授权的第三方机构对PII处理者进行审计验证,是企业隐私保护能力的一种体现,可以极大地降低合规沟通成本,增强企业与消费者、合作伙伴、监管部门的信任。
申请条件:
1、企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件。
2、申请方已按照ISO27701标准要求建立体系并实施运行3个月以上。
3、至少完成一次数据保护/隐私影响评估、内部审核,并进行了管理评审。
4、体系运行期间及建立体系前一年内未受到主管部门行政处罚。
提供材料:
(包括但不限于)
1、法律地位证明文件(如企业营业执照)
2、依据ISO27701标准建立的体系文件(一级和二级文件,至少包含SOA文件和程序文件)
3、体系建立后体系运行记录(至少运行3个月以上),内部审核、管理评审记录和报告
4、包含PIMS要求的隐私信息安全风险评估资料(至少有风险评估计划、风险处置计划和残余风险报告)
5、适用PIMS要求的法律法规清单
6、运营场所物理平面图及网络拓扑图
7、PII识别处理PII信息流涉及的信息系统、存储介质等清单
8、PII影响评估报告等。
ISO27001隐私保护术语:
PII:个人可识别信息 Personally identifiable information,也译作个人身份信息
PIMS:隐私信息管理体系
PII控制者:确定处理PII的目的和手段隐私利益相关者,但不包括出于个人目的使用数据的自然人
PII控制者的customer:与PII控制者有合约关系的组织,可以是共同控制者
PII处理者:代表并按照 PII 控制者的说明处理PII的隐私利益相关者
PII处理者的customer:与PII处理者有合约关系的PII控制者
扫一扫,联系我们
扫一扫,联系我们
