企航顧問ISO/IEC27701隱私信息管理體系服務
2022/12/30
隨(sui)著社(she)交媒體APP和(he)物聯網設備在生(sheng)活中的(de)(de)廣(guang)泛應用,以及全球隱(yin)私(si)法(fa)律法(fa)規的(de)(de)激增,諸如:《歐盟通用數據保(bao)護條例(li)》(GDPR)、《加州消費(f�������ei)者隱(yin)私(si)法(fa)》(CCPA)和(he)《中國網絡安(an)全法(fa)》(China network security Law),隱(yin)私(si)保(bao)護問題已(yi)然成為了(le)當前社會的(de)(de)焦點(dian),這意味著組織現在面(mian)臨著來自(zi)客戶、最終用戶、投(tou)資者和(he)監(jian)管機構的(de)(de)多重壓力,企業如何管理(li)個人可識別信息(xi)(PII)或個人數據,如何確保(bao)隱(yin)私(si)合規,都成為擺在企業面(mian)前亟待(dai)解決的(de)(de)新問題和(he)新挑戰。
ISO/IEC27701隱私(si)信(xin)息(xi)管(guan)理(li)(li)體系(xi)標(��������biao)準作為(wei)ISO/IEC27001與ISO/IEC27002在(zai)管(guan)理(li)(li)上的(de)延伸標(biao)準,其目標(biao)是通過新增的(de)要求來增強現有(you)信(xin)息(xi)安全(quan)管(guan)理(li)(li)體系(xi)(ISMS),以便建立、實施、維(wei)護(hu)和不斷(duan)改進隱私(si)信(xin)息(xi)管(guan)理(li)(li)體系(xi)(PIMS),標(biao)準概述了適用于個(ge)人身份(fen)信(xin)息(xi)(PII)控(kong)制者和PII處理(li)(li)者的(de)框架,用于隱私(si)控(kong)制管(guan)理(li)(li),以降低對個(ge)人隱私(si)的(de)各種風險(xian)。
一、什么(me)是(shi)ISO/IEC 27701?
ISO/IEC 27701是對ISO/IEC 27001信(xin)息安全管(guan)理和ISO/IEC 27002安全控制(zhi)的(de)隱(yin)私(si)擴(kuo)展(zhan),全稱(cheng)《安全技術(shu)—擴(kuo)展(zhan)ISO/IEC 27001和ISO/IEC 27002的(de)隱(yin)私(si)信(xin)息管(guan)理—要求與指南(nan)》。它是ISO標(biao���)準(zhun)委員會以(yi)ISO 27001為基(ji)準(zhun),以(yi)ISO 27552為藍本,建(jian)立發布的(de)隱(yin)私(si)信(xin)息管(guan)理體系標(biao)準(zhun),為保護個人隱(yin)私(si)提供指導。
ISO/IEC ������27701標準的發布,填(tian)補了隱私(si)信息管(guan)理(li)體系的空白,將(jiang)隱私(si)保(bao)(bao)護(hu)的原則、理(li)念和(he)方法,融入(ru)到信息安全保(bao)(bao)護(hu)體系中,并且對PII控制者和(he)PII處理(li)者進行了較為(wei)詳(xiang)細且落地性(xing)強(qiang)的規定,給(gei)企業在(zai)隱私(si)保(bao)(bao)護(hu)和(he)信息安全方面(mian)給(gei)出了������指導(dao)建議。
二(er)、ISO/IEC27701產生的背景
數據濫用、數據竊取、隱私泄露以(yi)及(ji)“大數(shu)據殺熟”等數(shu)據安全(quan)問(wen)題(ti)呈現(xian)爆(bao)發趨勢。在此背景(jing)下,全(quan)球各個國家紛(fen)紛(fen)頒布相(xiang)關法(fa)律法(fa)規,對數(s�������hu)據安全(quan)與(yu)隱私保護相(xiang)關問(wen)題(ti)進行嚴格的規范與(yu)引導。
1、2018年(nian)歐(ou)盟GDPR《General Data Protection Regulation》生效。2021年(nian),歐(ou)盟在(zai)GDPR中(zhong)采(cai)信(xin)由監管(guan)機構(gou)認可(ke)或(huo)國家認可(ke)機構(gou)認可(ke)的(de)第三方(fang)認證(zheng)�����機構(gou)頒(ban)發(fa)的(de)認證(zheng)證(zheng)書
2、2017年6月(yue)(yue)1日(ri)(ri),《中華人民共和(he)國(guo)網絡安全法(fa)》(通常簡(jian)稱(cheng)《網安法(fa)》)頒布(bu)實(shi)施,2021年�����11月(yue)(yue)1日(ri)(ri),我國(guo)的《個(ge)人信息保(bao)��護法(fa)》生效
3、美國《隱私(si)(si)權(quan)(quan)法(fa)(fa)》、《電子通訊隱私(si)(si)法(fa)(fa)》、《金(jin)融服務現(xian)代化法(fa)(fa)案》、《兒(er)童在線隱私(s�����i)(si)權(quan)(quan)保護法(fa)(fa)案》、《健康保險攜帶(dai)和責任(ren)法(fa)(fa)》和《有效保護隱私(si)(si)權(quan)(quan)的自律規范》等
4、日本《個(ge)人信(xin)息(xi)保護法》等
5、加(jia)拿大《隱私法》、《個人信(xin)息保護與電(dian)子文件法》等
6、國際:OECD《關于保護(hu)隱私和(he)個�����(ge)人數據國際流通的指南》和(he)《APEC隱私保護(hu)框(kuang)架(jia)》等(deng)
7、……
為規(gu�������i)范組織內部個人隱私信��������息(xi)安全(quan)管(guan)理,滿足各國相關隱私保護(hu)法律法規(gui)的(de)要求,國際標準化組織(zhi)(ISO)以(yi)ISO 27001為基(ji)準,�������以(yi)ISO 27552為藍(lan)本,建立了ISO 27701標(������biao)準。
三、ISO/IEC27701的核心術語
1、PII:Personal������ly Identifiable Informat�����ion個人可(ke)識別(bie)信息(xi) ,也譯作(zuo)個人身份信息(xi)
(1)可(ke)用于識(shi)別(bie)此類(lei)信息相關的 PII 主體的(de)任(ren)何信(xin)息
(2)直(zhi)接或(huo)間接鏈接到 PII 主體的信息(xi)
2、PII控制者(zhe):確定(ding)處理個人可識別信息(P������II)的(de)目(mu)的(de)和手段(duan)隱私利益相關(guan)者(zhe),�����但不包(bao)括出于個人目(mu)的(de)使(shi)用數(shu)據的(de)自然人
3、PII處理者:代表并按照(zhao) PII 控制者(zhe)的說明處理PII的隱私利益相(xiang)關者(zhe)
4、PIMS:Priva�����cy Information Management System隱(yin)私(si)信息管理體系(xi)
5、Customer:
(1)PII控(kong)制者的(de)cus������tomer:與PII控(kong)制者有合約(yue)關(guan)系(xi����)的(de)組(zu)織(zhi),可以是共同(tong)控(kong)制者
(2)PII處(chu)(chu)理(li)者的customer:與(yu)PII處(chu)(chu������)理�����(li)者有合約關系的PII控(kong)制者
(3)與PII處理(li)的分包(bao)商有合約關系(xi)的PII處理(li)者
四、ISO/IEC27701標準的(de)結構
ISO/IEC 27701是ISO/IEC 27001和ISO/IEC 27002在(zai)隱(yin)私(si)方面的(de)擴展,并為(wei)隱(yin������)私(si)保護提供了除ISO/IEC 27001和ISO/IEC 27002之外的(de)額外的������(de)指導。全文共分為(wei)8個章(zhang)節及6個附錄,主要(yao)的(de)要(yao)求(qiu)和指導內容集(ji)中在(zai)第5-8章(zhang)。
1、條款1-4,給出了標準的范圍,術語、定義等。
2、條(tiao)款5介紹了ISO/IEC 27��������001中延伸出的(de������)關于PIMS的(de)擴展(zhan)要求以(yi)及本標準對PIMS的(de)附加要求。
3、條款6介紹了ISO/IEC 2700�������2中對PIMS的擴展及(ji)附加(jia)要求。上(shang)述條款(kuan)對PII的控制(zhi)者和處理者均適用。
4、條款7給出了針對PII控制者的ISO/IEC 27002擴(kuo)展(zhan)指南。
5、條款8給出了針對PII處理者的ISO/IEC 27002擴展指南。這兩(liang)章從PII的(de)(de)收(shou)集和處理,對PII主體的(de)(de)義(yi)務,Privacy by design &�������� Privacy by default,PII的(de)(de)共享(xiang)、傳輸和披露四個(ge)方(fang)面(mian)做出了相應�����規(gui)定。
6、附(fu)錄A是針對PII控制者的PIMS特定的控制目標和控制措施。
7、附錄B是針對PII處理者的PIMS特定的控制目標和控制措施。
8、附錄C給出了標準與ISO/IEC 29100的映射。
9、附錄D是與GDPR的映射。
10、附(fu)錄(lu)E是與ISO/IEC 27018和ISO/IEC 29151的映射。
11、附錄(lu)F則是如何在處理PII時將ISO/IEC 27001和ISO/IEC 27002擴展到隱私保護。
總體而言,ISO/IEC 27701標準通過第5章和第6章將ISO/IEC 27002與附加的PIMS控制������項通過ISO/IEC 27001中PDCA的方式導入體系,形成完整的信息安全和隱私管理體系。此外,第7章和第8章從數������據生命周期的角度新增分別針對PII控制者和處理者的控制要求。同時,附錄中還將本標準與GDPR、ISO/IEC 29100、ISO/IEC 27018及ISO/IEC 29151進行(xing)了映射。
【上(shang)表:信息安全標準適用范圍】
五、ISO/IEC27701標準重點解讀
ISO/IEC 27701嵌套(tao)在(zai)ISO/IEC 27000系列中,并要(yao)求符合ISO/IEC 27001標準。ISO/IEC 27701擴展了(le)ISO/IEC 27001的(de)要(yao)求,在(zai)原有管理、實施(shi)、操作、監控(kong)、審查和(he)不斷改進(jin)ISMS的(de)流程基礎上,著(zhu)重考慮了(le)對于企業(ye)所持有PII的(de)隱(yin)私(si)(si)保護。同時ISO/IEC 27701對ISO/I������EC 27002實施(shi)指(zhi)南中的(de)隱(yin)私(si)(si)性(xing)進(jin)行了(le)解(jie)釋和(he)擴展,除業(ye)務連(lian)續性(xing)以外的(de)所有控(kong)制域均增(zeng)加(jia)了(le)關于PII隱(yin)私(si)(si)的(de)實施(shi)�������指(zhi)南。
ISO/IEC 27701分別從PII控制者和PII處理者的角度,補(bu)充說明了收集(ji)和處理PII的條件、對PII主體的隱私保護�������義務、Privacy by design and privacy by default以及(ji)PII共享、轉移和披露的相(xiang)關要求。
1、條(tiao)款5“與 ISO/IEC 27001 相(xiang)關的PIMS特定要求”
涵蓋了對 ISO/IEC 27001:2013 條(tiao)(tiao)款(kuan)4~10附(fu)加的要求(qiu),均為(wei)認證要求(qiu)。例如,如本標準��������中條(tiao)(tiao)款(kuan)5.7.2 的表述:ISO/IEC 27001:2013,9.2 中所述要求��������(qiu)以及(ji)5.1 中所述的解釋均適用。
該(gai)標準不(bu)增加任何新的內部審核要求,只要組織理解這是ISO/IEC 27001:2013 對處(chu)理個(ge)人(ren)可識別(bie)信������(xin)息(PII)所可能增加風(feng)險的“信(xin)息安全(quan)”要求。
ISO/IEC 277�������01:2019對ISO/IEC 27001的以下(xia)條�������款(kuan)增(zeng)加了(le)附加的要求:
2、條款6“與ISO/IEC 27002相關的PIMS特(te)定(ding)指南”
涵(han)蓋了與ISO�����/IEC 27002有(you)關的(de)其他PIMS相關指南。例如,標準條������(tiao)款6.9.4.4(與 ISO/IEC 27001:2013 的(de)12.4.4 時鐘同步(bu)相對應)不包含任何附加要求(qiu),因為時鐘同步(bu)與隱私風險(xian)沒有(you)相關性。
另一方(fang)面,標準條款6.9.3.1 (與 I����SO/IC 27001:2013 的(de)12.3.������1 信息(xi)備(bei)(bei)份(fen)相對應)則(ze)增(zeng)加較多的(de)隱(yin)私管理指南,因(yin)為信息(xi)備(bei)(bei)份(fen)可能(neng)存(cun)在隱(yin)私風險,例如數(shu)據(ju)保留期(qi)、跨境(jing)數(shu)據(ju)傳輸等。
下表總結(jie)了 ISO/IEC 27002 各個領域中(zhong)的(de)控制點的(de)數(shu)量。在 ISO/IEC 27002 中(zhong),共對32項新的(de)控制點進行(xing)了修訂。與ISO/IEC 27002一樣,條款6中(zh��������ong)的(de)指南(nan)為(wei)非認證條款。
3、條(tiao)款7“對PII控制者附加的ISO/IEC 27002指南”
為 PII 控(kong)(kong)制(zhi)(zhi)者(zhe)(zhe)(zhe)提(ti)供(gong)指南。對于 PII 控(kong)(kong)制(zhi)(zhi)者(zhe)(zhe)(zhe)所需的所有(you)�����控(kong)(kong)制(zhi)(zhi)點(dian)都列在標準的附錄(lu)A 中。這些(xie)控(kong)(kong)制(zhi)(zhi)點(dian)是規范性(xing)(xing)的,這意味(wei)著(zhu)如果組織作為(wei)(wei)控(kong)(kong)制(zhi)(zhi)者(zhe)(zhe)(zhe),則������應實施這些(xie)控(kong)(kong)制(zhi)(zhi)(參見如下認證中的 PII 控(kong)(kong)制(zhi)(zhi)者(zhe)(zhe)(zhe)與PII 處理者(zhe)(zhe)(zhe))。條款7中所提(ti)供(gong)的指南有(you)助于組織實施這些(xie)控(kong)(kong)制(zhi)(zhi)。然而,這些(xie)指南為(wei)(wei)非認證性(xing)(xing)的。
4、條款8“對PII處理者附加的(de)ISO/IEC 27002指南”
為 PII 處理(li)者(zhe)提供指(zhi)(zhi)南。本標(biao)準附錄 B 列出了(le) PII 處理(li)者(zhe)的(de)控�����制點。與附錄 A 相似,如果組織(zhi)作為(wei)處理(li)者(zhe),這些控制點是(shi)規范性的(de)。條款(kuan)8的(de)指(zhi)(zhi)南�����是(shi)非認證(zheng)性的(de)。
六、建立(li)ISO/IEC27701的收益
ISO/IEC 27701該標(biao)準(zhun)為企業(ye)(ye)和其他組織提�������供了一個國際通用的隱(yin)私(si)信息管理工具,對(dui)于(yu)降低企業(ye)(ye)隱(yin)私(si)合規難度,便利企業(ye)(ye)提供合規證明(ming),增強社會各(ge)方對(dui)企業(ye)(ye)的信任程度具有重要(ya��������o)意義。實施隱(yin)私(si)信息管理,至少獲(huo)得如下收益(yi):
1、合規(gui)。通過明確(que)對PII處理(li)者的(de)(de)隱私(si)(si)保護(hu)要求(qiu)(qiu),可以明確隱私(si)(si)保護(hu)管理(li)合規目標,減輕組(zu)織合規負擔(dan)的(de)(de)同(tong)時降(jiang)低組(zu)織合規風(feng)險(xian),ISO27701標準附錄D中明確表示,單個隱私(si)(si)控制點可以滿足GDPR中的(de)(de)多項(xiang)要求(qiu)(qiu)。滿足了������(le) ISO27701 標準也就意味(wei)著基本(ben)滿足 GDPR 的(de)(de)要求(qiu)(qiu),而 GDPR 是眾(zhong)多隱私(si)(si)保護(hu)法規中最為嚴格的(de)(de),也就意味(wei)著滿足了(le)即將(jiang)頒(ban)布的(de)(de)《隱私(si)(si)保護(hu)法》的(de)(de)系列(lie)要求(qiu)(qiu)。
2、完(wan)善數(shu)據安全能力和風險管理。實現(xian)持續的完(wan)善產品的非功能性要求,進而(er)展示出產品在處理(li)個人隱(yin)私(si)(si)安全(quan)、安全(quan)治(zhi)理(li)的績效(xiao),通(tong)過流(liu)程分(fen)析(xi),在流(liu)程的輸入、輸出、控(kong)制(zhi)過程中,識別、分(fen)析(xi)、驗(yan)(yan)證隱(yin)私(si)(si)保(bao)護(hu�������)(hu)需(xu)求、傳遞隱(yin)私(si)(si)保(bao)護(hu)(hu)價值,減少甚至消(xiao)除隱(yin)私(si)(si)泄露(lu)的風險,如(ru)(ru):體現(xian)為采用隱(yin)私(si)(si)控(kong)制(zhi)技(ji)術(如(ru)(ru)日志脫敏、數據庫加密)、產品架構(如(ru)(ru)加密芯(xin)片)、技(ji)術路(lu)徑(如(ru)(ru)完(wan)整性校(xiao)驗(yan)(yan))等(deng)。
3、PIMS認證可以傳遞信任。客戶或合作(zuo)伙伴,尤(you)其是����政府組織、金融(rong)機構(gou)作(zuo)為承擔隱私(si)風(feng)險的機構(gou����),通常會要求PII處(chu)理者(zhe)提(ti)供相(xiang)關證(zheng)(zheng)據(ju)(如PIA分析報告),從而(er)證(zh�������eng)(zheng)明(ming)(ming)PII處(chu)理者(zhe)的(de)產品能(neng)符合(he)適用(yong)的(de)隱(yin)私管理體系(xi)要(yao)求。通過得到(dao)授權的(de)第三方機構對PII處(chu)理者(zhe)進行基于(yu)(yu)國際(ji)標準的(de)審核,可以極大地降低合(he)規(gui)(gui)溝通成本(ben),這種(zhong)合(he)規(gui)(gui)透明(ming)(ming)度(du)的(de)提(ti)高(gao)對于(yu)(yu)組織戰略(lve)和業務決策至(zhi)關重要(yao),同時PIMS認������(ren)證(zheng)(zheng)也有助于(yu)(yu)向公眾傳達組織的(de)可信度(du)。
七、關(guan)于企航顧問
企航顧問在ICT(信息與通訊技術)領域提(ti)供的服務項目有:
1、ISO/IEC 20000 : 信(xin)息(xi)技術服(fu)務管(guan)理體(ti)系
2、ISO/IEC 27001 : 信息安全管理體系
3、ISO/IEC 27701 : 隱私(si)信(xin)息管(guan)理(li)體系
4、ISO/IEC 27017 : 云服務(wu)信(xin)息安全規(gui)范
5、ISO/IEC 27018 : 公共云個人信息(PII)處理者的信息(xi)安全控制規(gui)范
6、ISO/IEC 29151 : 個人信(xin)息保護的行為準則
7、ISO 22301 : 業務連續性管理體系
8、TISAX :可信信息安全評估(gu)及交換機制
9、ISO/SAE 21434 : 汽車(che)網絡安全
10、TL 9000 : 通(tong)訊行(xing)業質(zhi)量管理體系
11、……
