企航顧問ISO/IEC27701隱私信息管理體系服務(wù)
2022/12/30
隨著社交媒體APP和物聯(lián)網(wǎng)設(shè)備在生活中的廣泛應(yīng)用����,以及全球隱私法律法規(guī)的激增�,諸如:《歐盟通用數(shù)據(jù)保護(hù)條例》(GDPR)�、《加州消費(fèi)者隱私法》(CCPA)和《中國網(wǎng)絡(luò)安全法》(China network security Law),隱私保護(hù)問題已然成為了當(dāng)前社會(huì)的焦點(diǎn)����,這意味著組織現(xiàn)在面臨著來自客戶��、最終用戶、投資者和監(jiān)管機(jī)構(gòu)的多重壓力�,企業(yè)如何管理個(gè)人可識(shí)別信息(PII)或個(gè)人數(shù)據(jù)��,如何確保隱私合規(guī)��,都成為擺在企業(yè)面前亟待解決的新問題和新挑戰(zhàn)��。
ISO/IEC27701隱私信息管理體系標(biāo)準(zhǔn)作為ISO/IEC27001與ISO/IEC27002在管理上的延伸標(biāo)準(zhǔn),其目標(biāo)是通過新增的要求來增強(qiáng)現(xiàn)有信息安全管理體系(ISMS),以便建立、實(shí)施�����、維護(hù)和不斷改進(jìn)隱私信息管理體系(PIMS)��,標(biāo)準(zhǔn)概述了適用于個(gè)人身份信息(PII)控制者和PII處理者的框架��,用于隱私控制管理,以降低對(duì)個(gè)人隱私的各種風(fēng)險(xiǎn)����。
一�、什么是ISO/IEC 27701�?
ISO/IEC 27701是對(duì)ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隱私擴(kuò)展,全稱《安全技術(shù)—擴(kuò)展ISO/IEC 27001和ISO/IEC 27002的隱私信息管理—要求與指南》����。它是ISO標(biāo)準(zhǔn)委員會(huì)以ISO 27001為基準(zhǔn)����,以ISO 27552為藍(lán)本���,建立發(fā)布的隱私信息管理體系標(biāo)準(zhǔn)����,為保護(hù)個(gè)人隱私提供指導(dǎo)����。
ISO/IEC 27701標(biāo)準(zhǔn)的發(fā)布�,填補(bǔ)了隱私信息管理體系的空白�����,將隱私保護(hù)的原則�����、理念和方法,融入到信息安全保護(hù)體系中�,并且對(duì)PII控制者和PII處理者進(jìn)行了較為詳細(xì)且落地性強(qiáng)的規(guī)定����,給企業(yè)在隱私保護(hù)和信息安全方面給出了指導(dǎo)建議�。
二、ISO/IEC27701產(chǎn)生的背景
數(shù)據(jù)濫用����、數(shù)據(jù)竊取�、隱私泄露以及“大數(shù)據(jù)殺熟”等數(shù)據(jù)安全問題呈現(xiàn)爆發(fā)趨勢�。在此背景下,全球各個(gè)國家紛紛頒布相關(guān)法律法規(guī),對(duì)數(shù)據(jù)安全與隱私保護(hù)相關(guān)問題進(jìn)行嚴(yán)格的規(guī)范與引導(dǎo)。
1��、2018年歐盟GDPR《General Data Protection Regulation》生效�。2021年,歐盟在GDPR中采信由監(jiān)管機(jī)構(gòu)認(rèn)可或國家認(rèn)可機(jī)構(gòu)認(rèn)可的第三方認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書
2、2017年6月1日�,《中華人民共和國網(wǎng)絡(luò)安全法》(通常簡稱《網(wǎng)安法》)頒布實(shí)施��,2021年11月1日,我國的《個(gè)人信息保護(hù)法》生效
3、美國《隱私權(quán)法》、《電子通訊隱私法》、《金融服務(wù)現(xiàn)代化法案》、《兒童在線隱私權(quán)保護(hù)法案》�、《健康保險(xiǎn)攜帶和責(zé)任法》和《有效保護(hù)隱私權(quán)的自律規(guī)范》等
4����、日本《個(gè)人信息保護(hù)法》等
5�����、加拿大《隱私法》�����、《個(gè)人信息保護(hù)與電子文件法》等
6��、國際:OECD《關(guān)于保護(hù)隱私和個(gè)人數(shù)據(jù)國際流通的指南》和《APEC隱私保護(hù)框架》等
7��、……
為規(guī)范組織內(nèi)部個(gè)人隱私信息安全管理,滿足各國相關(guān)隱私保護(hù)法律法規(guī)的要求,國際標(biāo)準(zhǔn)化組織(ISO)以ISO 27001為基準(zhǔn)����,以ISO 27552為藍(lán)本�,建立了ISO 27701標(biāo)準(zhǔn)����。
三、ISO/IEC27701的核心術(shù)語
1����、PII:Personally Identifiable Information個(gè)人可識(shí)別信息 ����,也譯作個(gè)人身份信息
(1)可用于識(shí)別此類信息相關(guān)的 PII 主體的任何信息
(2)直接或間接鏈接到 PII 主體的信息
2�、PII控制者:確定處理個(gè)人可識(shí)別信息(PII)的目的和手段隱私利益相關(guān)者,但不包括出于個(gè)人目的使用數(shù)據(jù)的自然人
3���、PII處理者:代表并按照 PII 控制者的說明處理PII的隱私利益相關(guān)者
4、PIMS:Privacy Information Management System隱私信息管理體系
5����、Customer:
(1)PII控制者的customer:與PII控制者有合約關(guān)系的組織���,可以是共同控制者
(2)PII處理者的customer:與PII處理者有合約關(guān)系的PII控制者
(3)與PII處理的分包商有合約關(guān)系的PII處理者
四����、ISO/IEC27701標(biāo)準(zhǔn)的結(jié)構(gòu)
ISO/IEC 27701是ISO/IEC 27001和ISO/IEC 27002在隱私方面的擴(kuò)展�����,并為隱私保護(hù)提供了除ISO/IEC 27001和ISO/IEC 27002之外的額外的指導(dǎo)��。全文共分為8個(gè)章節(jié)及6個(gè)附錄,主要的要求和指導(dǎo)內(nèi)容集中在第5-8章����。
1�����、條款1-4,給出了標(biāo)準(zhǔn)的范圍���,術(shù)語、定義等��。
2���、條款5介紹了ISO/IEC 27001中延伸出的關(guān)于PIMS的擴(kuò)展要求以及本標(biāo)準(zhǔn)對(duì)PIMS的附加要求�����。
3�����、條款6介紹了ISO/IEC 27002中對(duì)PIMS的擴(kuò)展及附加要求。上述條款對(duì)PII的控制者和處理者均適用�����。
4�、條款7給出了針對(duì)PII控制者的ISO/IEC 27002擴(kuò)展指南����。
5、條款8給出了針對(duì)PII處理者的ISO/IEC 27002擴(kuò)展指南��。這兩章從PII的收集和處理�,對(duì)PII主體的義務(wù),Privacy by design & Privacy by default����,PII的共享���、傳輸和披露四個(gè)方面做出了相應(yīng)規(guī)定����。
6�、附錄A是針對(duì)PII控制者的PIMS特定的控制目標(biāo)和控制措施。
7、附錄B是針對(duì)PII處理者的PIMS特定的控制目標(biāo)和控制措施��。
8���、附錄C給出了標(biāo)準(zhǔn)與ISO/IEC 29100的映射�。
9、附錄D是與GDPR的映射。
10、附錄E是與ISO/IEC 27018和ISO/IEC 29151的映射�。
11��、附錄F則是如何在處理PII時(shí)將ISO/IEC 27001和ISO/IEC 27002擴(kuò)展到隱私保護(hù)。
總體而言,ISO/IEC 27701標(biāo)準(zhǔn)通過第5章和第6章將ISO/IEC 27002與附加的PIMS控制項(xiàng)通過ISO/IEC 27001中PDCA的方式導(dǎo)入體系�,形成完整的信息安全和隱私管理體系�。此外�,第7章和第8章從數(shù)據(jù)生命周期的角度新增分別針對(duì)PII控制者和處理者的控制要求。同時(shí),附錄中還將本標(biāo)準(zhǔn)與GDPR����、ISO/IEC 29100�、ISO/IEC 27018及ISO/IEC 29151進(jìn)行了映射�����。
【上表:信息安全標(biāo)準(zhǔn)適用范圍】
五、ISO/IEC27701標(biāo)準(zhǔn)重點(diǎn)解讀
ISO/IEC 27701嵌套在ISO/IEC 27000系列中,并要求符合ISO/IEC 27001標(biāo)準(zhǔn)��。ISO/IEC 27701擴(kuò)展了ISO/IEC 27001的要求��,在原有管理�、實(shí)施、操作、監(jiān)控����、審查和不斷改進(jìn)ISMS的流程基礎(chǔ)上���,著重考慮了對(duì)于企業(yè)所持有PII的隱私保護(hù)����。同時(shí)ISO/IEC 27701對(duì)ISO/IEC 27002實(shí)施指南中的隱私性進(jìn)行了解釋和擴(kuò)展���,除業(yè)務(wù)連續(xù)性以外的所有控制域均增加了關(guān)于PII隱私的實(shí)施指南�����。
ISO/IEC 27701分別從PII控制者和PII處理者的角度���,補(bǔ)充說明了收集和處理PII的條件�、對(duì)PII主體的隱私保護(hù)義務(wù)�、Privacy by design and privacy by default以及PII共享、轉(zhuǎn)移和披露的相關(guān)要求����。
1�、條款5“與 ISO/IEC 27001 相關(guān)的PIMS特定要求”
涵蓋了對(duì) ISO/IEC 27001:2013 條款4~10附加的要求��,均為認(rèn)證要求。例如��,如本標(biāo)準(zhǔn)中條款5.7.2 的表述:ISO/IEC 27001:2013��,9.2 中所述要求以及5.1 中所述的解釋均適用�����。
該標(biāo)準(zhǔn)不增加任何新的內(nèi)部審核要求,只要組織理解這是ISO/IEC 27001:2013 對(duì)處理個(gè)人可識(shí)別信息(PII)所可能增加風(fēng)險(xiǎn)的“信息安全”要求�。
ISO/IEC 27701:2019對(duì)ISO/IEC 27001的以下條款增加了附加的要求:
2����、條款6“與ISO/IEC 27002相關(guān)的PIMS特定指南”
涵蓋了與ISO/IEC 27002有關(guān)的其他PIMS相關(guān)指南�����。例如���,標(biāo)準(zhǔn)條款6.9.4.4(與 ISO/IEC 27001:2013 的12.4.4 時(shí)鐘同步相對(duì)應(yīng))不包含任何附加要求���,因?yàn)闀r(shí)鐘同步與隱私風(fēng)險(xiǎn)沒有相關(guān)性����。
另一方面��,標(biāo)準(zhǔn)條款6.9.3.1 (與 ISO/IC 27001:2013 的12.3.1 信息備份相對(duì)應(yīng))則增加較多的隱私管理指南����,因?yàn)樾畔浞菘赡艽嬖陔[私風(fēng)險(xiǎn)���,例如數(shù)據(jù)保留期�、跨境數(shù)據(jù)傳輸?shù)取?/span>
下表總結(jié)了 ISO/IEC 27002 各個(gè)領(lǐng)域中的控制點(diǎn)的數(shù)量�。在 ISO/IEC 27002 中,共對(duì)32項(xiàng)新的控制點(diǎn)進(jìn)行了修訂�����。與ISO/IEC 27002一樣�����,條款6中的指南為非認(rèn)證條款�。
3�、條款7“對(duì)PII控制者附加的ISO/IEC 27002指南”
為 PII 控制者提供指南。對(duì)于 PII 控制者所需的所有控制點(diǎn)都列在標(biāo)準(zhǔn)的附錄A 中。這些控制點(diǎn)是規(guī)范性的���,這意味著如果組織作為控制者����,則應(yīng)實(shí)施這些控制(參見如下認(rèn)證中的 PII 控制者與PII 處理者)���。條款7中所提供的指南有助于組織實(shí)施這些控制���。然而�����,這些指南為非認(rèn)證性的�。
4���、條款8“對(duì)PII處理者附加的ISO/IEC 27002指南”
為 PII 處理者提供指南����。本標(biāo)準(zhǔn)附錄 B 列出了 PII 處理者的控制點(diǎn)����。與附錄 A 相似,如果組織作為處理者,這些控制點(diǎn)是規(guī)范性的。條款8的指南是非認(rèn)證性的��。
六���、建立ISO/IEC27701的收益
ISO/IEC 27701該標(biāo)準(zhǔn)為企業(yè)和其他組織提供了一個(gè)國際通用的隱私信息管理工具�,對(duì)于降低企業(yè)隱私合規(guī)難度,便利企業(yè)提供合規(guī)證明,增強(qiáng)社會(huì)各方對(duì)企業(yè)的信任程度具有重要意義����。實(shí)施隱私信息管理����,至少獲得如下收益:
1�、合規(guī)。通過明確對(duì)PII處理者的隱私保護(hù)要求,可以明確隱私保護(hù)管理合規(guī)目標(biāo)��,減輕組織合規(guī)負(fù)擔(dān)的同時(shí)降低組織合規(guī)風(fēng)險(xiǎn)����,ISO27701標(biāo)準(zhǔn)附錄D中明確表示,單個(gè)隱私控制點(diǎn)可以滿足GDPR中的多項(xiàng)要求�。滿足了 ISO27701 標(biāo)準(zhǔn)也就意味著基本滿足 GDPR 的要求�����,而 GDPR 是眾多隱私保護(hù)法規(guī)中最為嚴(yán)格的,也就意味著滿足了即將頒布的《隱私保護(hù)法》的系列要求。
2、完善數(shù)據(jù)安全能力和風(fēng)險(xiǎn)管理�����。實(shí)現(xiàn)持續(xù)的完善產(chǎn)品的非功能性要求�,進(jìn)而展示出產(chǎn)品在處理個(gè)人隱私安全、安全治理的績效,通過流程分析,在流程的輸入�����、輸出����、控制過程中���,識(shí)別�����、分析��、驗(yàn)證隱私保護(hù)需求、傳遞隱私保護(hù)價(jià)值,減少甚至消除隱私泄露的風(fēng)險(xiǎn)�,如:體現(xiàn)為采用隱私控制技術(shù)(如日志脫敏����、數(shù)據(jù)庫加密)、產(chǎn)品架構(gòu)(如加密芯片)、技術(shù)路徑(如完整性校驗(yàn))等���。
3、PIMS認(rèn)證可以傳遞信任?����?蛻艋蚝献骰锇?��,尤其是政府組織�����、金融機(jī)構(gòu)作為承擔(dān)隱私風(fēng)險(xiǎn)的機(jī)構(gòu)����,通常會(huì)要求PII處理者提供相關(guān)證據(jù)(如PIA分析報(bào)告)���,從而證明PII處理者的產(chǎn)品能符合適用的隱私管理體系要求����。通過得到授權(quán)的第三方機(jī)構(gòu)對(duì)PII處理者進(jìn)行基于國際標(biāo)準(zhǔn)的審核���,可以極大地降低合規(guī)溝通成本����,這種合規(guī)透明度的提高對(duì)于組織戰(zhàn)略和業(yè)務(wù)決策至關(guān)重要,同時(shí)PIMS認(rèn)證也有助于向公眾傳達(dá)組織的可信度���。
七、關(guān)于企航顧問
企航顧問在ICT(信息與通訊技術(shù))領(lǐng)域提供的服務(wù)項(xiàng)目有:
1�、ISO/IEC 20000 : 信息技術(shù)服務(wù)管理體系
2���、ISO/IEC 27001 : 信息安全管理體系
3���、ISO/IEC 27701 : 隱私信息管理體系
4��、ISO/IEC 27017 : 云服務(wù)信息安全規(guī)范
5、ISO/IEC 27018 : 公共云個(gè)人信息(PII)處理者的信息安全控制規(guī)范
6�����、ISO/IEC 29151 : 個(gè)人信息保護(hù)的行為準(zhǔn)則
7�����、ISO 22301 : 業(yè)務(wù)連續(xù)性管理體系
8�����、TISAX :可信信息安全評(píng)估及交換機(jī)制
9�����、ISO/SAE 21434 : 汽車網(wǎng)絡(luò)安全
10���、TL 9000 : 通訊行業(yè)質(zhì)量管理體系
11���、……
