ISO/IEC27701標準的發(fā)布,填補了目前隱私信息管理體系的空白,將隱私保護的原則、理念和方法,融入到信息安全保護體系中,并且對PII控制者和PII處理者進(jìn)行了較為詳細且落地性強的規定,給企業(yè)在隱私保護和信息安全方面給出了指導建議。
一、隱私保護的重要性被不斷強調,ISO/IEC27701標準也隨之出臺威脅重重,數據濫用、數據竊取、隱私泄露以及“大數據殺熟”等數據安全問(wèn)題呈現爆發(fā)趨勢。在此背景下,全球各個(gè)國家紛紛頒布相關(guān)法律法規,對數據安全與隱私保護相關(guān)問(wèn)題進(jìn)行嚴格的規范與引導。
如歐盟保護個(gè)人數據的《General Data Protection Regulation》(GDPR);美國的《California Consumer Privacy Act》(CCPA)等。為了應對越來(lái)越多的個(gè)人數據泄露或濫用的情況,國際范圍迎來(lái)了隱私保護立法和建立標準熱潮。
1.GDPR
歐盟于2018年5月25日正式實(shí)施了《通用數據保護條例》 (《General Data Protection Regulation》,簡(jiǎn)稱(chēng)《GDPR》),是一項保護歐盟公民個(gè)人隱私和數據的法律,其適用范圍包括歐盟成員國境內企業(yè)的個(gè)人數據、也包括歐盟境外企業(yè)處理歐盟公民的個(gè)人數據。
2.CCPA
美國已有多個(gè)州先在數據安全與隱私保護進(jìn)行了立法,其中最著(zhù)名的要數2018年6月加州通過(guò)《加州消費者隱私法案》( 《California Consumer Privacy Act》, 簡(jiǎn)稱(chēng)《CCPA》)。該法案被稱(chēng)為美國“最嚴厲和最全面的個(gè)人隱私保護法案”,將于2020年1月1日生效。
3.網(wǎng)絡(luò )安全法
我國于2017年6月1日正式實(shí)施《中華人民共和國網(wǎng)絡(luò )安全法》(通常簡(jiǎn)稱(chēng)《網(wǎng)安法》)?!毒W(wǎng)安法》是我國首部全面規范網(wǎng)絡(luò )空間安全管理方面問(wèn)題的基礎性法律,包含的內容十分豐富,一共包括7章79條,包含網(wǎng)絡(luò )運行安全、關(guān)鍵信息基礎設施的運行安全、網(wǎng)絡(luò )信息安全等內容。值得關(guān)注的是,《網(wǎng)安法》在數據(包括個(gè)人信息)安全與保護上也有諸多規定,例如第四十至四十五條。ISO標準委員會(huì )以ISO27001為基準,以ISO27552為藍本,建立了ISO27701標準。
二、IS027701認證的主要目標是什么?
通過(guò)PIMS的擴展以及與隱私相關(guān)的控制來(lái)增強現有的信息安全管理體系(ISMS),簡(jiǎn)化復雜的重疊隱私法的管理,創(chuàng )建一個(gè)以證據為基礎的隱私計劃,并通過(guò)公認的認證形式表明該計劃的合規性,并作為潛在的GDPR合規性的基礎?,F在發(fā)布的ISO27701認證標準還實(shí)現了其他一些目的。一方面,它充當PIMS與ISMS或ISO27001之間關(guān)系和連接的概述。它還詳述了所需的功能,并列出了PIMS數據處理器和控制器的隱私控制。在更大范圍內,ISO27701認證將信息隱私要求映射到相關(guān)的ISO標準和GDPR。
三、ISO27701認證的好處?
ISO/IEC27701該標準為企業(yè)和其他組織提供了一個(gè)國際通用的隱私信息管理工具,對于降低企業(yè)隱私合規難度,便利企業(yè)提供合規證明,增強社會(huì )各方對企業(yè)的信任程度具有重要意義。實(shí)施隱私信息管理,至少獲得如下收益:
1)合規。通過(guò)明確對PII處理者的隱私保護要求,可以明確隱私保護管理合規目標,減輕組織合規負擔的同時(shí)降低組織合規風(fēng)險,ISO27701標準附錄D中明確表示,單個(gè)隱私控制點(diǎn)可以滿(mǎn)足GDPR中的多項要求。滿(mǎn)足了ISO27701標準也就意味著(zhù)基本滿(mǎn)足GDPR的要求,而GDPR是眾多隱私保護法規中最為嚴格的,也就意味著(zhù)滿(mǎn)足了即將頒布的《隱私保護法》的系列要求。
2)完善數據安全能力和風(fēng)險管理。實(shí)現持續的完善產(chǎn)品的非功能性要求,進(jìn)而展示出產(chǎn)品在處理個(gè)人隱私安全、安全治理的績(jì)效,通過(guò)流程分析,在流程的輸入、輸出、控制過(guò)程中,識別、分析、驗證隱私保護需求、傳遞隱私保護價(jià)值,減少甚至消除隱私泄露的風(fēng)險,如:體現為采用隱私控制技術(shù)(如日志脫敏、數據庫加密)、產(chǎn)品架構(如加密芯片)、技術(shù)路徑(如完整性校驗)等。
3)PIMS認證可以傳遞信任??蛻?hù)或合作伙伴,尤其是政府組織、金融機構作為承擔隱私風(fēng)險的機構,通常會(huì )要求PII處理者提供相關(guān)證據(如PIA分析報告),從而證明PII處理者的產(chǎn)品能符合適用的隱私管理體系要求。通過(guò)得到授權的第三方機構對PII處理者進(jìn)行基于國際標準的審核,可以極大地降低合規溝通成本,這種合規透明度的提高對于組織戰略和業(yè)務(wù)決策至關(guān)重要,同時(shí)PIMS認證也有助于向公眾傳達組織的可信度。
四、如何實(shí)施ISO27001認證?
要求供應商代表他們處理和維護PII的客戶(hù)應考慮合同規定這些供應商不僅要遵守ISO27001.而且要符合IS027701,或者在適用于數據敏感性的情況下獲得ISO27701標準的認證。即使客戶(hù)不要求供應商通過(guò)獨立的第三方認證也符合新標準ISO27701認證,他們仍可能希望更新合同以確保供應商可以符合ISO27701認證的要求。由于ISO27701認證仍然非常對于新合同,賣(mài)方應遵守本新標準的規定合理的時(shí)間延遲,以便將其包括在這些合同中。
已通過(guò)ISO27001認證并希望實(shí)施ISO27701要求的組織應考慮采取以下步驟:
1)對現有ISMS進(jìn)行符合ISO27701認證要求的差距評估,并就如何解決這些差距制定行動(dòng)計劃。
2)對組織收集的PII進(jìn)行數據映射,以了解收集的II的范圍以及如何使用和與處理器共享。
3)根據與組織環(huán)境相關(guān)的內部或外部因素(例如適用的隱私法規,法規,司法決定或合同要求)確定組織作為控制者和/或處理者的角色。
4)查看并更新隱私策略,以確保它們包含必需的信息。
5)制定適用于組織角色的政策和程序。
6)通過(guò)設計和默認原則開(kāi)始規劃和實(shí)施隱私。
在世界各地,立法者和監管者都在引入新的法律來(lái)規范數據的使用,尤其是PII。最近,GDPR的出現使許多企業(yè)(包括客戶(hù)和供應商)爭相達成合規性。不斷變化的法律環(huán)境給所有企業(yè)帶來(lái)了挑戰,尤其是必須遵守多個(gè)司法管轄區法規的企業(yè)。新的ISO27701認證標準不會(huì )嘗試單獨和本地處理每項新法律,而是提供一種統一的方式來(lái)決定,計劃,實(shí)施和記錄組織在全球范圍內的數據隱私方法。
無(wú)論組織的規模大小,是PII的控制者還是處理者,企業(yè)都應考慮為自己的組織或向供應商要求獲得ISO27701認證。對于處理敏感或大量P1I的處理器,子處理器和聯(lián)合控制器尤其如此。
科泰集團(m.qiyeqqexmail.cn) 成立13年來(lái),致力于提供高新技術(shù)企業(yè)認定、名優(yōu)高新技術(shù)產(chǎn)品認定、省市工程技術(shù)研究中心認定、省市企業(yè)技術(shù)中心認定、省市工業(yè)設計中心認定、省市重點(diǎn)實(shí)驗室認定、專(zhuān)精特新中小企業(yè)、專(zhuān)精特新“小巨人”、專(zhuān)利軟著(zhù)申請、研發(fā)費用加計扣除、兩化融合貫標認證、科技型中小企業(yè)評價(jià)入庫、專(zhuān)利獎、科學(xué)技術(shù)獎、科技成果評價(jià)、科技成果轉化、ISO體系認證等服務(wù)。關(guān)注【科小泰】公眾號,及時(shí)獲取最新科技項目資訊!