马小姐13077875505您好,欢迎来到TISAX|21434|VDA6.3|汽车6大工具|IATF16949!

当前位置:首页>>项目落地案例>>隐私保护隐私保护

ISO27701个人隐私信息保护标准落地解读

发布时间:2022-09-09 16:28

       数据滥用、数据窃取、隐私泄露以及“大数据杀熟”等数据安全问题呈现爆发趋势。在此背景下,全球各个国家纷纷颁布相关法律法规,对数据安全与隐私保护相关问题进行严格的规范与引导。

ISO/IEC 27701:2019标准的发布,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并且对PII控制者和PII处理者进行了较为详细且落地性强的规定,给企业在隐私保护和信息安全方面给出了指导建议

一、 隐私保护各国立法


1. GDPR

欧盟于2018年5月25日正式实施了《通用数据保护条例》 (《General Data Protection Regulation》,简称《GDPR》),是一项保护欧盟公民个人隐私和数据的法律,其适用范围包括欧盟成员国境内企业的个人数据、也包括欧盟境外企业处理欧盟公民的个人数据。

   


2. CCPA

美国已有多个州先在数据安全与隐私保护进行了立法,其中最著名的要数2018年6月加州通过《加州消费者隐私法案》( 《California Consumer Privacy Act》, 简称《CCPA》)。该法案被称为美国“最严厉和最全面的个人隐私保护法案”,将于2020年1月1日生效。

3. 《中华人民共和国网络安全法》

   我国于2017年6月1日正式实施《中华人民共和国网络安全法》(通常简称《网安法》)。《网安法》是我国首部全面规范网络空间安全管理方面问题的基础性法律,包含的内容十分丰富,一共包括7章79条,包含网络运行安全、关键信息基础设施的运行安全、网络信息安全等内容。


二、ISO/IEC 27701标准介绍

1. 关键术语解释

PII:个人可识别身份信息,指 a) 任何可以识别PII主体的信息或 b) 直接或间接与PII主体相关的信息PIMS:Privacy Information Management System,隐私信息管理体系Customer:PII控制者的customer:与PII控制者有合约关系的组织,可以是共同控制者PII处理者的customer:与PII处理者有合约关系的PII控制者与PII处理的分包商有合约关系的PII处理者

2. ISO 27701结构组成

ISO 27701是ISO 27001和ISO 27002在隐私信息管理方面的扩展,并在隐私保护方面提供了必要的额外要求。ISO/IEC 27701标准的正文由8个条款组成,其中:

条款1-4,给出了标准的范围,术语、定义等。

条款5介绍了ISO 27001中延伸出的关于PIMS的扩展要求以及本标准对PIMS的附加要求。

条款6介绍了ISO 27002中对PIMS的扩展及附加要求。上述条款对PII的控制者和处理者均适用。

条款7给出了针对PII控制者的ISO 27002扩展指南。

条款8给出了针对PII处理者的ISO 27002扩展指南。这两章从PII的收集和处理,对PII主体的义务,Privacy by design & Privacy by default,PII的共享、传输和披露四个方面做出了相应规定。

附录A是针对PII控制者的PIMS特定的控制目标和控制措施。

附录B是针对PII处理者的PIMS特定的控制目标和控制措施。

附录C给出了标准与ISO/IEC 29100的映射。

附录D是与GDPR的映射。

附录E是与ISO/IEC 27018和ISO/IEC 29151的映射。

附录F则是如何在处理PII时将ISO/IEC 27001和ISO/IEC 27002扩展到隐私保护。

总体而言,标准通过第5章和第6章将ISO 27002与附加的PIMS控制项构成了完整的信息安全和隐私管理体系。第7章和第8章从数据生命周期的角度新增分别针对PII控制者和处理者的控制要求。


三、ISO/IEC 27701标准重点解读

3.1)ISO 27701嵌套在ISO 27000系列中,并要求符合ISO 27001标准。

ISO 27701扩展了ISO 27001的要求,在原有信息安全的流程基础上,着重考虑了对于企业所持有PII的隐私保护。同时ISO 27701对ISO 27002实施指南中的隐私性进行了解释和扩展,除业务连续性以外的所有控制域均增加了关于PII隐私的实施指南。ISO 27701分别从PII控制者和PII处理者的角度,补充说明了收集和处理PII的条件、对PII主体的隐私保护义务、


3.2)ISO 27701在对ISO 27001/27002的扩展要求中,除将信息安全替换为信息安全和隐私外,同时扩展了相关控制域中的控制项。


3.3 原有的以业务和资产为主线的信息安全风险评价中增加隐私生命周期处理风险。

    组织应在整个风险评估过程中确保信息安全与PII保护之间的关系得到适当管理。组织可以根据自身PIMS情况,对信息安全和隐私保护进行统一流程的综合评估,也可以根据实际需要采用独立的流程进行分别评估。


   ISO 27701的目标是通过对于隐私保护的控制实现对ISMS进行补充,使企业建立PIMS,实现有效的隐私管理,从而使企业获益。  


四、ISO/IEC 27701认证收益

ISO/IEC 27701该标准为企业和其他组织提供了一个国际通用的隐私信息管理工具,对于降低企业隐私合规难度,便利企业提供合规证明,增强社会各方对企业的信任程度具有重要意义。实施隐私信息管理,至少获得如下收益:

1)满足合规要求。通过明确对PII处理者的隐私保护要求,可以明确隐私保护管理合规目标,减轻组织合规负担的同时降低组织合规风险,ISO27701标准附录D中明确表示,单个隐私控制点可以满足GDPR中的多项要求。满足了 ISO27701 标准也就意味着基本满足 GDPR 的要求,而 GDPR 是众多隐私保护法规中最为严格的,也就意味着满足了即将颁布的《隐私保护法》的系列要求。

2)完善数据安全能力和风险管理。实现持续的完善产品的非功能性要求,进而展示出产品在处理个人隐私安全、安全治理的绩效,通过流程分析,在流程的输入、输出、控制过程中,识别、分析、验证隐私保护需求、传递隐私保护价值,减少甚至消除隐私泄露的风险,如:体现为采用隐私控制技术(如日志脱敏、数据库加密)、产品架构(如加密芯片)、技术路径(如完整性校验)等。

3)PIMS认证可以传递信任。客户或合作伙伴,尤其是政府组织、金融机构作为承担隐私风险的机构,通常会要求PII处理者提供相关证据(如PIA分析报告),从而证明PII处理者的产品能符合适用的隐私管理体系要求。通过得到授权的第三方机构对PII处理者进行基于国际标准的审核,可以极大地降低合规沟通成本,这种合规透明度的提高对于组织战略和业务决策至关重要,同时PIMS认证也有助于向公众传达组织的可信度。



    深圳中标国际标准咨询有限公司www.csi-edu.cn 为组织提供信息安全和隐私保护整体方案解决、