以互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等現(xiàn)代信息技術(shù)構(gòu)成的數(shù)字化時(shí)代，技術(shù)進(jìn)步帶來便利的同時(shí)，其背后伴隨的安全問題也不容忽視。

面對(duì)手機(jī)APP條款繁復(fù)、晦澀難懂的隱私政策，還有一攬子授權(quán)，必須要點(diǎn)同意？

郵箱、手機(jī)，甚至身份證、家庭住址、社會(huì)關(guān)系、銀行卡號(hào)……

這些被拿去的個(gè)人信息會(huì)不會(huì)被泄露和濫用？

公眾該如何防護(hù)？

企業(yè)如何保護(hù)隱私的同時(shí)獲取益處？

又該如何保障用戶的信息安全？

近年來全球多個(gè)國家紛紛頒布相關(guān)法律法規(guī)，對(duì)信息安全與隱私保護(hù)相關(guān)問題進(jìn)行嚴(yán)格的規(guī)范與引導(dǎo)。如中國的網(wǎng)絡(luò)安全法、GB/T 35273個(gè)人信息保護(hù)條例；歐盟GDPR通用數(shù)據(jù)保護(hù)條例；美國加州CCPA隱私保護(hù)條例；美國內(nèi)華達(dá)州SB220數(shù)據(jù)隱私法；英國DPA2018數(shù)據(jù)保護(hù)法等。

為了應(yīng)對(duì)越來越多信息泄露件及個(gè)人信息濫用的情況，國際標(biāo)準(zhǔn)化組織ISO也在信息安全、隱私安全、云安全等相關(guān)領(lǐng)域發(fā)布了諸多國際標(biāo)準(zhǔn)。

一、ISO/IEC 27001:2013 信息安全管理體系

ISO/IEC 27001是信息安全領(lǐng)域的重要標(biāo)準(zhǔn)，是建立信息安全管理體系的一套規(guī)范，標(biāo)準(zhǔn)詳細(xì)說明了建立、實(shí)施及維護(hù)信息安全管理體系的要求，指出實(shí)施組織應(yīng)該遵循風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，其最終目的在于幫助組織建立適合自身需要的信息安全管理體系。ISO/IEC 27001共分成14個(gè)領(lǐng)域，35個(gè)控制目標(biāo)，114個(gè)控制措施。

二、ISO/IEC 27002:2013 信息安全控制實(shí)用規(guī)則

ISO/IEC 27002標(biāo)準(zhǔn)為在組織內(nèi)啟動(dòng)、實(shí)施、保持和改進(jìn)信息安全管理提供指南和通用的原則。ISO/IEC 27002標(biāo)準(zhǔn)概述的目標(biāo)提供了有關(guān)信息安全管理通常公認(rèn)的目標(biāo)的通用指南。.ISO/IEC 27002標(biāo)準(zhǔn)的控制目標(biāo)和控制措施預(yù)期被實(shí)施以滿足由風(fēng)險(xiǎn)評(píng)估所識(shí)別的要求，ISO/IEC 27002標(biāo)準(zhǔn)可以作為一個(gè)實(shí)踐指南服務(wù)于幵發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理實(shí)踐，幫助構(gòu)建組織間活動(dòng)的信心。實(shí)施規(guī)則中的控制和指導(dǎo)并不全都是適用的，可能需要 ISO/IEC 27002標(biāo)準(zhǔn)中未包括的附加控制和指南:。

三、ISO/IEC 27017:2015 云環(huán)境下的信息安全控制

ISO/IEC 27017提供了ISO/IEC 27002與云環(huán)境相關(guān)的控制措施實(shí)施指引，同時(shí)提供了針對(duì)云服務(wù)的額外安全控制措施。ISO/IEC 27017標(biāo)準(zhǔn)適用于所有類型和規(guī)模大小的組織，無論是自建的云服務(wù)還是透過購買所獲得的云服務(wù)，以及云服務(wù)提供商本身，皆可透過此標(biāo)準(zhǔn)的指引，強(qiáng)化所提供或者所使用的云服務(wù)的安全。ISO/IEC 27017能在組織和服務(wù)商中清楚地定義云服務(wù)提供商和云服務(wù)客戶之間的責(zé)任，避免可能在服務(wù)過程總所產(chǎn)生的歧義，導(dǎo)致服務(wù)中斷。ISO/IEC 27017標(biāo)準(zhǔn)除了引用37個(gè)來自于ISO/IEC 27002的控制措施，同時(shí)還額外提供了7個(gè)專門針對(duì)云服務(wù)的安全控制措施。

四、ISO/IEC 27018:2019 公有云個(gè)人隱私保護(hù)

ISO/IEC 27018是公有云個(gè)人隱私保護(hù)的國際標(biāo)準(zhǔn)，標(biāo)準(zhǔn)提供了一套用于公有云中個(gè)人信息處理者的個(gè)人信息保護(hù)實(shí)用規(guī)則。這些規(guī)則讓云服務(wù)供應(yīng)商的個(gè)人信息安全控制變得標(biāo)準(zhǔn)化和透明化，使得公有云服務(wù)提供商在扮演PII處理者時(shí)，有足夠能力去處理公有云服務(wù)中的信息安全問題，能夠在滿足客戶合約以及相應(yīng)法規(guī)前提下，有效應(yīng)對(duì)云服務(wù)中個(gè)人隱私保護(hù)的特定風(fēng)險(xiǎn)。ISO/IEC 27018標(biāo)準(zhǔn)參考了ISO/IEC 27002的16項(xiàng)控制措施，以及根據(jù)ISO/IEC 29100的11項(xiàng)隱私框架原則追加的25項(xiàng)控制措施。

五、ISO/IEC 27701:2019 隱私管理體系

ISO/IEC 27701作為ISO/IEC 27001與ISO/IEC 27002在管理上的延伸標(biāo)準(zhǔn)，其目標(biāo)是通過新增的要求來增強(qiáng)現(xiàn)有信息安全管理體系（ISMS）,以便建立、實(shí)施、維護(hù)和不斷改進(jìn)隱私信息管理體系（PIMS），標(biāo)準(zhǔn)概述了適用于個(gè)人身份信息（PII）控制者和PII處理者的框架，用于隱私控制管理，以降低對(duì)個(gè)人隱私的各種風(fēng)險(xiǎn)。

六、ISO/IEC 29100:2011 隱私框架

由于信息科技的普及，處理或利用個(gè)人信息的情況越來越普遍，但不同國家的相關(guān)法規(guī)均不一致，為了確?？鐕g的個(gè)人信息傳輸都能符合一定的法律要求，國際標(biāo)準(zhǔn)化組織ISO于2011年12月發(fā)布了國際標(biāo)準(zhǔn)ISO/IEC 29100隱私框架。隱私保護(hù)框架內(nèi)容包括：識(shí)別PII、隱私防護(hù)的要求、隱私策略和隱私控制的確定。標(biāo)準(zhǔn)的附錄對(duì)于隱私的詞匯和ISO/IEC27000標(biāo)準(zhǔn)族的詞匯進(jìn)行了對(duì)應(yīng)。由于隱私保護(hù)和信息安全存在太多的交叉，因此在ISO/IEC 29100:2011中，關(guān)于隱私控制并沒有展幵。但是第五章關(guān)于隱私原則的內(nèi)容對(duì)于后續(xù)開展隱私管理體系建設(shè)具有指導(dǎo)意義。

七、ISO/IEC 29134:2017 隱私影響評(píng)估指南

隱私影響評(píng)估(PIA)是一種評(píng)估流程，是評(píng)估信息系統(tǒng)，程序，軟件模塊，設(shè)備或其他處理個(gè)人身份信息(PII)的活動(dòng)對(duì)隱私的潛在影響的工具，并與利益相關(guān)方協(xié)商，為治理隱私風(fēng)險(xiǎn)采取必要的行動(dòng)。最終產(chǎn)生的PIA報(bào)告可能涵蓋涉及風(fēng)險(xiǎn)治理措施的標(biāo)準(zhǔn)文件內(nèi)容，包括因使用ISO/IEC 27001標(biāo)準(zhǔn)中而產(chǎn)生的措施。ISO/IEC 29134第六章列出了隱私影響評(píng)估的主要步驟，給出了是否需要做PIA(閾值分析)的六種情境，最后在標(biāo)準(zhǔn)的附錄中列舉了常規(guī)的隱私風(fēng)險(xiǎn)庫。

八、ISO/IEC 29151:2017 個(gè)人隱私保護(hù)標(biāo)準(zhǔn)領(lǐng)域ISO/IEC2實(shí)實(shí)施1是通用的個(gè)人隱私保護(hù)標(biāo)準(zhǔn)，基于ISO/IEC 27002的各個(gè)域中加入了PII的事實(shí)指南，同時(shí)引入了ISO/IEC 29100十一大隱私保護(hù)原則。標(biāo)準(zhǔn)涵蓋26個(gè)控制域，181條控制措施，充分控制個(gè)人身份信息(PII)相關(guān)的風(fēng)險(xiǎn)和滿足影響評(píng)估所確定的要求。

標(biāo)準(zhǔn)之間的關(guān)系：

1、ISO/IEC 27002為ISO/IEC 27001提供風(fēng)險(xiǎn)處置具體的控制目標(biāo)和控制措施指南；

2、組織依據(jù)ISO/IEC 27001標(biāo)準(zhǔn)建立信息安全管理體系，通過風(fēng)險(xiǎn)管理來保護(hù)和管理組織的所有信息，從數(shù)據(jù)安全方面滿足各國隱私法規(guī)的部分要求；

3、ISO/IEC 27017和ISO/IEC 27018是ISO/IEC 27002標(biāo)準(zhǔn)的延伸，ISO/IEC 27017著重于云環(huán)境下的信息安全控制，ISO/IEC 27018著重于公有云個(gè)人隱私保護(hù)；

4、擴(kuò)展ISO/IEC 27001相關(guān)的PIMS要求；

5、擴(kuò)展ISO/IEC 27002相關(guān)的PIMS要求以及PII控制者和處理者的額外要求；

6、ISO/IEC 27701附錄D映射GDPR大部分條款，僅部分條款未被ISO/IEC 27701覆蓋，通過ISO/IEC 27701認(rèn)證能表明組織符合GDPR的大部分要求，是目前GDPR合規(guī)展現(xiàn)的方式之一；

7、ISO/IEC 29100、ISO/IEC 29134、ISO/IEC 29151、ISO/IEC 27018均為隱私方面的標(biāo)準(zhǔn)，有不同的側(cè)重點(diǎn)，與ISO/IEC 27701互為補(bǔ)充。

了那么多信息安全相關(guān)的標(biāo)準(zhǔn)信息，企業(yè)該如何選擇符合且利于公司發(fā)展的管理體系呢？

信息安全標(biāo)準(zhǔn)適用范圍：

標(biāo)準(zhǔn)描述備注ISO/IEC 27001:2013信息安全管理體系作為基礎(chǔ)管理體系的框架，適用于所有類型和規(guī)模的組織。ISO/IEC 27701:2019ISO/IEC 27001和ISO/IEC 27002的延伸,用于隱私信息管理個(gè)人身份信息相關(guān)組織和利益相關(guān)方要求；個(gè)人身份信息相關(guān)風(fēng)險(xiǎn)評(píng)估；適用于適用于所有類型和規(guī)模的組織，包括公共和私營公司、政府機(jī)構(gòu)和非營利組織，他們是在ISMS中處理PII(個(gè)人可識(shí)別信息)的控制者或處理者。

ISO/IEC 29151:2017個(gè)人信息保護(hù)的行為準(zhǔn)則36項(xiàng)ISO/IEC 27002附加控制要求；個(gè)人身份信息新增13個(gè)控制；適用于所有類型和規(guī)模的作為PII控制者的組織，包括處理PII的公共和私營公司、政府機(jī)構(gòu)和非營利組織。

ISO/IEC 27017:2015基于ISO/IEC 27002的云服務(wù)信息安全控制實(shí)務(wù)守則37個(gè)與云安全相關(guān)的ISO/IEC 27002附加控制要求；7個(gè)額外的云安全要求；適用于云服務(wù)提供商和云服務(wù)客戶。ISO/IEC 27018:2019公用云作為保護(hù)隱私數(shù)據(jù)處理者的實(shí)務(wù)守則與云相關(guān)的15項(xiàng)ISO/IEC 27002附加控制要求；11個(gè)額外的基于云的個(gè)人信息要求；適用于所有類型和規(guī)模的組織，這些組織作為PII處理者通過與其他組織簽訂的云計(jì)算提供信息處理服務(wù)；也適用于PII控制者的組織。

科泰集團(tuán)（m.qiyeqqexmail.cn） 成立13年來，致力于提供高新技術(shù)企業(yè)認(rèn)定、名優(yōu)高新技術(shù)產(chǎn)品認(rèn)定、省市工程技術(shù)研究中心認(rèn)定、省市企業(yè)技術(shù)中心認(rèn)定、省市工業(yè)設(shè)計(jì)中心認(rèn)定、省市重點(diǎn)實(shí)驗(yàn)室認(rèn)定、專精特新中小企業(yè)、專精特新“小巨人”、專利軟著申請(qǐng)、研發(fā)費(fèi)用加計(jì)扣除、兩化融合貫標(biāo)認(rèn)證、科技型中小企業(yè)評(píng)價(jià)入庫、專利獎(jiǎng)、科學(xué)技術(shù)獎(jiǎng)、科技成果評(píng)價(jià)、科技成果轉(zhuǎn)化、ISO體系認(rèn)證等服務(wù)。關(guān)注【科小泰】公眾號(hào)，及時(shí)獲取最新科技項(xiàng)目資訊！