1、IEC 27701隐私信息管理体系 背景介绍
大数据时代的到来,为我们带来了空前的便利,随着大数据在各个领域的渗透逐渐加深,个人隐私泄露的风险也愈加严重,人们对信息安全的关注日益提升,全球多个国家和地区相继出台了一系列隐私保护的法律法规,当前几乎所有的组织都有处理个人信息 (PII) 的情况,保护PII不仅是法律要求,也是社会需要。
因此,新标准ISO/IEC 27701隐私信息管理体系应势而生。助力组织为GDPR合规展现、保护用户隐私和个人信息合规管理提供了更多相关指南。2019年8月6日,国际标准化组织ISO和国际电工委员会IEC正式对外发布ISO/IEC 27701隐私信息管理体系标准。这标志着信息安全、隐私与个人信息保护,在国际间法律与法规的合规展现有了一致性的标准。
该标准填补了目前隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并且对PII控制者和PII处理者进行了较为详细且落地性强的规定,细化了隐私信息管理的要求,给组织在隐私保护和信息安全方面给出了指导建议。作为一个国际通用的隐私信息管理工具,能够有效的协助组织对隐私风险进行识别、分析,采取措施将风险降到可接受水平并维持该水平,并建立隐私保护体系,从管理与技术等多方面满足国内外的监管合规要求。
2、认证价值
Ø 通过明确对PII控制者和处理者的隐私保护要求,可以使组织明确隐私保护管理合规目标,减轻组织合规负担的同时降低组织合规风险。
Ø 实现持续的个人隐私安全合规对于任何组织都是一个安全治理的课题,ISO/IEC 27701通过建立PIMS,可以确保组织高级管理层、组织所有者以及关键相关方的利益满足隐私保护要求,从而使组织实现长期、持久的个人隐私安全合规。
Ø PIMS认证可以向组织客户或合作伙伴传达隐私合规价值。PII控制者通常会要求PII处理者提供相关证据,从而证明PII处理者的隐私管理体系符合适用的隐私管理要求。通过得到授权的第三方机构对PII处理者进行审计验证,基于国际标准的统一证据框架可以极大地降低合规沟通成本,这种合规透明度的提高对于组织战略和业务决策至关重要,同时PIMS认证也有助于向公众传达组织的可信度。
3、适用范围
ISO/IEC 27701嵌套在ISO/IEC 27000系列中,并要求符合ISO/IEC 27001标准。适用于所有类型和规模的需要对个人身份信息进行管理的任何组织,如银行、保险公司、电信公司、航空公司、 数据中心、代理商、非政府组织、医院和学校等。
4、标准简介
ISO/IEC 27701作为ISO/IEC 27001与ISO/IEC 27002在管理上的延伸标准,其目标是通过新增的要求来增强现有信息安全管理体系(ISMS),以便建立、实施、维护和不断改进隐私信息管理体系(PIMS),标准概述了适用于个人身份信息(PII)控制者和PII处理者的框架,用于隐私控制管理,以降低对个人隐私的各种风险。
ISO/IEC 27701标准的正文由8个条款组成,其中:
1) 条款1-4,给出了标准范围、术语、定义等
2) 条款5给出了ISO/IEC 27001相关的PIMS要求
3) 条款6给出了ISO/IEC 27002相关的PIMS指南
4) 条款7给出了针对PII控制者的ISO/IEC 27002扩展指南
5) 条款8给出了针对PII处理者的ISO/IEC 27002扩展指南
6) 附录A,针对PII控制者的PIMS特定的控制目标和控制措施
7) 附录B,针对PII处理者的PIMS特定的控制目标和控制措施
8) 附录C,与ISO/IEC 29100的对应
9) 附录D,与GDPR的对应
10) 附录E,与ISO/IEC 27018和ISO/IEC 29151的对应
11) 附录F,如何在ISO/IEC 27001和ISO/IEC 27002的基础上实施ISO/IEC 27701
5、隐私安全相关标准之间的关系
为了应对越来越多信息泄露件及个人信息滥用的情况,国际标准化组织ISO也在信息安全、隐私安全、云安全等相关领域发布了诸多国际标准。下图展示了隐私安全相关标准之间的关系:
1) ISO/IEC 27002为ISO/IEC 27001提供风险处置具体的控制目标和控制措施指南;
2) 组织依据ISO/IEC 27001标准建立信息安全管理体系,通过风险管理来保护和管理组织的所有信息,从数据安全方面满足各国隐私法规的部分要求;
3) ISO/IEC 27017和ISO/IEC 27018是ISO/IEC 27002标准的延伸,ISO/IEC 27017着重于云环境下的信息安全控制,ISO/IEC 27018着重于公有云个人隐私保护;
4) 扩展ISO/IEC 27001相关的PIMS要求;
5) 扩展ISO/IEC 27002相关的PIMS要求以及PII控制者和处理者的额外要求;
6) ISO/IEC 27701附录D映射GDPR大部分条款,仅部分条款未被ISO/IEC 27701覆盖,通过ISO/IEC 27701认证能表明组织符合GDPR的大部分要求,是目前GDPR合规展现的方式之一;
7) ISO/IEC 29100、ISO/IEC 29134、ISO/IEC 29151、ISO/IEC 27018均为隐私方面的标准,有不同的侧重点,与ISO/IEC 27701互为补充。