企航顧問ISO/IEC27701隱私信息管理體系服務
2022/12/30
隨著社交媒體APP和物聯網設備在生活中的廣泛應用��,以及全球隱私法律法規的激增,諸如:《歐盟通用數據保護條例》(GDPR)、《加州消費者隱私法》(CCPA)和《中國網絡安全法》(China network security Law),隱私保護問題已然成為了當前社會的焦點�����,這意味著組織現在面臨著來自客戶、最終用戶、投資者和監管機構的多重壓力,企業如何管理個人可識別信息(PII)或個人數據,如何確保隱私合規,都成為擺在企業面前亟待解決的新問題和新挑戰。
ISO/IEC27701隱私信息管理體系標準作為ISO/IEC27001與ISO/IEC27002在管理上的延伸標準,其目標是通過新增的要求來增強現有信息安全管理體系(ISMS),以便建立��、實施��、維護和不斷改進隱私信息管理體系(PIMS)����,標準概述了適用于個人身份信息(PII)控制者和PII處理者的框架�,用于隱私控制管理,以降低對個人隱私的各種風險�����。
一�、什么是ISO/IEC 27701���?
ISO/IEC 27701是對ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隱私擴展�,全稱《安全技術—擴展ISO/IEC 27001和ISO/IEC 27002的隱私信息管理—要求與指南》。它是ISO標準委員會以ISO 27001為基準���,以ISO 27552為藍本,建立發布的隱私信息管理體系標準�����,為保護個人隱私提供指導�。
ISO/IEC 27701標準的發布,填補了隱私信息管理體系的空白�,將隱私保護的原則�、理念和方法��,融入到信息安全保護體系中���,并且對PII控制者和PII處理者進行了較為詳細且落地性強的規定����,給企業在隱私保護和信息安全方面給出了指導建議����。
二、ISO/IEC27701產生的背景
數據濫用�、數據竊取�����、隱私泄露以及“大數據殺熟”等數據安全問題呈現爆發趨勢。在此背景下���,全球各個國家紛紛頒布相關法律法規����,對數據安全與隱私保護相關問題進行嚴格的規范與引導�。
1�、2018年歐盟GDPR《General Data Protection Regulation》生效。2021年���,歐盟在GDPR中采信由監管機構認可或國家認可機構認可的第三方認證機構頒發的認證證書
2、2017年6月1日����,《中華人民共和國網絡安全法》(通常簡稱《網安法》)頒布實施���,2021年11月1日���,我國的《個人信息保護法》生效
3����、美國《隱私權法》�����、《電子通訊隱私法》�、《金融服務現代化法案》�����、《兒童在線隱私權保護法案》����、《健康保險攜帶和責任法》和《有效保護隱私權的自律規范》等
4���、日本《個人信息保護法》等
5�����、加拿大《隱私法》、《個人信息保護與電子文件法》等
6�����、國際:OECD《關于保護隱私和個人數據國際流通的指南》和《APEC隱私保護框架》等
7��、……
為規范組織內部個人隱私信息安全管理����,滿足各國相關隱私保護法律法規的要求����,國際標準化組織(ISO)以ISO 27001為基準,以ISO 27552為藍本,建立了ISO 27701標準�。
三�����、ISO/IEC27701的核心術語
1、PII:Personally Identifiable Information個人可識別信息 �,也譯作個人身份信息
(1)可用于識別此類信息相關的 PII 主體的任何信息
(2)直接或間接鏈接到 PII 主體的信息
2��、PII控制者:確定處理個人可識別信息(PII)的目的和手段隱私利益相關者,但不包括出于個人目的使用數據的自然人
3��、PII處理者:代表并按照 PII 控制者的說明處理PII的隱私利益相關者
4�、PIMS:Privacy Information Management System隱私信息管理體系
5、Customer:
(1)PII控制者的customer:與PII控制者有合約關系的組織�����,可以是共同控制者
(2)PII處理者的customer:與PII處理者有合約關系的PII控制者
(3)與PII處理的分包商有合約關系的PII處理者
四�、ISO/IEC27701標準的結構
ISO/IEC 27701是ISO/IEC 27001和ISO/IEC 27002在隱私方面的擴展,并為隱私保護提供了除ISO/IEC 27001和ISO/IEC 27002之外的額外的指導��。全文共分為8個章節及6個附錄�����,主要的要求和指導內容集中在第5-8章���。
1�����、條款1-4,給出了標準的范圍,術語�、定義等��。
2、條款5介紹了ISO/IEC 27001中延伸出的關于PIMS的擴展要求以及本標準對PIMS的附加要求。
3�����、條款6介紹了ISO/IEC 27002中對PIMS的擴展及附加要求��。上述條款對PII的控制者和處理者均適用����。
4���、條款7給出了針對PII控制者的ISO/IEC 27002擴展指南��。
5�、條款8給出了針對PII處理者的ISO/IEC 27002擴展指南���。這兩章從PII的收集和處理����,對PII主體的義務����,Privacy by design & Privacy by default,PII的共享��、傳輸和披露四個方面做出了相應規定����。
6、附錄A是針對PII控制者的PIMS特定的控制目標和控制措施����。
7�����、附錄B是針對PII處理者的PIMS特定的控制目標和控制措施。
8��、附錄C給出了標準與ISO/IEC 29100的映射���。
9�����、附錄D是與GDPR的映射�����。
10、附錄E是與ISO/IEC 27018和ISO/IEC 29151的映射����。
11、附錄F則是如何在處理PII時將ISO/IEC 27001和ISO/IEC 27002擴展到隱私保護�����。
總體而言��,ISO/IEC 27701標準通過第5章和第6章將ISO/IEC 27002與附加的PIMS控制項通過ISO/IEC 27001中PDCA的方式導入體系����,形成完整的信息安全和隱私管理體系。此外����,第7章和第8章從數據生命周期的角度新增分別針對PII控制者和處理者的控制要求�����。同時,附錄中還將本標準與GDPR�、ISO/IEC 29100�����、ISO/IEC 27018及ISO/IEC 29151進行了映射。
【上表:信息安全標準適用范圍】
五�����、ISO/IEC27701標準重點解讀
ISO/IEC 27701嵌套在ISO/IEC 27000系列中��,并要求符合ISO/IEC 27001標準��。ISO/IEC 27701擴展了ISO/IEC 27001的要求,在原有管理��、實施��、操作、監控、審查和不斷改進ISMS的流程基礎上,著重考慮了對于企業所持有PII的隱私保護����。同時ISO/IEC 27701對ISO/IEC 27002實施指南中的隱私性進行了解釋和擴展���,除業務連續性以外的所有控制域均增加了關于PII隱私的實施指南�����。
ISO/IEC 27701分別從PII控制者和PII處理者的角度,補充說明了收集和處理PII的條件�����、對PII主體的隱私保護義務���、Privacy by design and privacy by default以及PII共享����、轉移和披露的相關要求。
1����、條款5“與 ISO/IEC 27001 相關的PIMS特定要求”
涵蓋了對 ISO/IEC 27001:2013 條款4~10附加的要求��,均為認證要求。例如,如本標準中條款5.7.2 的表述:ISO/IEC 27001:2013�,9.2 中所述要求以及5.1 中所述的解釋均適用�。
該標準不增加任何新的內部審核要求����,只要組織理解這是ISO/IEC 27001:2013 對處理個人可識別信息(PII)所可能增加風險的“信息安全”要求。
ISO/IEC 27701:2019對ISO/IEC 27001的以下條款增加了附加的要求:
2、條款6“與ISO/IEC 27002相關的PIMS特定指南”
涵蓋了與ISO/IEC 27002有關的其他PIMS相關指南����。例如,標準條款6.9.4.4(與 ISO/IEC 27001:2013 的12.4.4 時鐘同步相對應)不包含任何附加要求�����,因為時鐘同步與隱私風險沒有相關性��。
另一方面�����,標準條款6.9.3.1 (與 ISO/IC 27001:2013 的12.3.1 信息備份相對應)則增加較多的隱私管理指南,因為信息備份可能存在隱私風險,例如數據保留期�、跨境數據傳輸等�。
下表總結了 ISO/IEC 27002 各個領域中的控制點的數量��。在 ISO/IEC 27002 中��,共對32項新的控制點進行了修訂���。與ISO/IEC 27002一樣�����,條款6中的指南為非認證條款。
3、條款7“對PII控制者附加的ISO/IEC 27002指南”
為 PII 控制者提供指南。對于 PII 控制者所需的所有控制點都列在標準的附錄A 中�。這些控制點是規范性的�,這意味著如果組織作為控制者�,則應實施這些控制(參見如下認證中的 PII 控制者與PII 處理者)。條款7中所提供的指南有助于組織實施這些控制。然而����,這些指南為非認證性的��。
4、條款8“對PII處理者附加的ISO/IEC 27002指南”
為 PII 處理者提供指南。本標準附錄 B 列出了 PII 處理者的控制點���。與附錄 A 相似�,如果組織作為處理者,這些控制點是規范性的。條款8的指南是非認證性的���。
六、建立ISO/IEC27701的收益
ISO/IEC 27701該標準為企業和其他組織提供了一個國際通用的隱私信息管理工具�,對于降低企業隱私合規難度���,便利企業提供合規證明�,增強社會各方對企業的信任程度具有重要意義��。實施隱私信息管理�����,至少獲得如下收益:
1、合規�����。通過明確對PII處理者的隱私保護要求�����,可以明確隱私保護管理合規目標���,減輕組織合規負擔的同時降低組織合規風險�����,ISO27701標準附錄D中明確表示,單個隱私控制點可以滿足GDPR中的多項要求�����。滿足了 ISO27701 標準也就意味著基本滿足 GDPR 的要求�����,而 GDPR 是眾多隱私保護法規中最為嚴格的,也就意味著滿足了即將頒布的《隱私保護法》的系列要求���。
2、完善數據安全能力和風險管理����。實現持續的完善產品的非功能性要求�����,進而展示出產品在處理個人隱私安全、安全治理的績效����,通過流程分析���,在流程的輸入����、輸出、控制過程中����,識別�、分析���、驗證隱私保護需求�����、傳遞隱私保護價值,減少甚至消除隱私泄露的風險���,如:體現為采用隱私控制技術(如日志脫敏、數據庫加密)�����、產品架構(如加密芯片)��、技術路徑(如完整性校驗)等���。
3�����、PIMS認證可以傳遞信任。客戶或合作伙伴,尤其是政府組織����、金融機構作為承擔隱私風險的機構����,通常會要求PII處理者提供相關證據(如PIA分析報告)�,從而證明PII處理者的產品能符合適用的隱私管理體系要求。通過得到授權的第三方機構對PII處理者進行基于國際標準的審核,可以極大地降低合規溝通成本�����,這種合規透明度的提高對于組織戰略和業務決策至關重要�,同時PIMS認證也有助于向公眾傳達組織的可信度。
七�、關于企航顧問
企航顧問在ICT(信息與通訊技術)領域提供的服務項目有:
1��、ISO/IEC 20000 : 信息技術服務管理體系
2、ISO/IEC 27001 : 信息安全管理體系
3����、ISO/IEC 27701 : 隱私信息管理體系
4、ISO/IEC 27017 : 云服務信息安全規范
5����、ISO/IEC 27018 : 公共云個人信息(PII)處理者的信息安全控制規范
6���、ISO/IEC 29151 : 個人信息保護的行為準則
7��、ISO 22301 : 業務連續性管理體系
8、TISAX :可信信息安全評估及交換機制
9����、ISO/SAE 21434 : 汽車網絡安全
10�、TL 9000 : 通訊行業質量管理體系
11��、……
