搭隱私信息安全保護傘,筑隱私信息安全防火墻
在互聯網和大數據時代,許多業務的開展都離不開個人隱私信息的處理,隱私保護問題已然成為當前社會的一大關注焦點。2021年8月20日,十三屆會第三十次會議表決通過《中華人民共和國個人信息保護法》,并將于2021年11月1日起正式實行。
這意味著,保護個人身份信息 (PII) 不僅是社會共識,更已成為法律的強制要求,組織面臨著來自客戶、最終用戶、投資者和政府監管所交付的多重責任。組織應如何管理個人可識別信息 (PII) 或個人數據,如何確保隱私合規,都成為擺在組織面前亟待解決的新問題和新挑戰。
ISO/IEC 27701正是基于此需求而開發的一項國際管理體系標準,它是ISO 27001(信息安全管理體系)和ISO 27002(信息安全控制實踐指南)在隱私信息管理的一個擴展標準。為組織在保護個人隱私信息方面提供指導。隨著歐盟的GDPR和更多類似隱私數據保護法律法規的發布,范圍內對隱私要求的合規需求正在增加。幾乎每個組織都會處理個人可識別信息 (PII)。另外,處理的PII數量和類型也在不斷增加,組織間相互合作處理PII的情況也在增多。在PII處理的背景下保護隱私是一項社會需求,也是范圍內專項法律法規的主要議題。
ISO 27701隱私信息管理體系讓組織能持續改善在數據保護方面的實踐,同時也是對信息安全管理體系在個人信息保護方面的進一步深化,旨在個人數據利用與保護之間進行合理的平衡,降低組織運營與合規方面的風險。
2019年8月6日,國際標準化組織ISO和國際電工委員會IEC正式對外發布ISO/IEC 27701隱私信息管理體系標準。這標志著信息安全、隱私與個人信息保護,在國際間法律與法規的合規展現中有了一致性的標準。
ISO/IEC 27701作為ISO/IEC 27001與ISO/IEC 27002在管理上的延伸標準,其目標是通過新增的要求來增強現有信息安全管理體系以便建立、實施、維護和不斷改進隱私信息管理體系,標準概述了適用于個人身份信息 (PII) 控制者和PIl處理者的框架,用于隱私控制管理,以降低個人隱私的各種風險。
ISO/IEC 27701適用于所有類型和規模的組織,包括公共和私營公司、政府實體以及非盈利組織。通過實施ISO/IEC 27701標準,能夠使組織給他們的監管機構、合作伙伴、客戶和雇員等帶來更加有力的信任,為組織贏得更多的機遇。
○ 《ISO/IEC 27701安全技術ISO/IEC27001和ISO/IEC27002在隱私信息管理的擴展要求和指南》
○ 《ISO/IEC 27001信息技術安全技術信息安全管理體系要求》
○ 《ISO/IEC 27002信息技術安全技術信息安全控制實踐指南》
○ 《ISO/IEC 27000信息技術安全技術信息安全管理體系總則和詞匯》
○ 《ISO/IEC 29100信息技術安全技術隱私框架》
○ 《GB/T 35273信息安全技術個人信息安全規范》
○ 明確對PII控制者和處理者隱私保護要求,協助組織和對隱私風險進行識別、分析;
○ 明確隱私保護管理合規目標,減輕組織合規負擔的同時降低組織合規風險;
○ 確保組織高級管理層、組織所有者以及關鍵相關方的利益,滿足隱私保護要求;
○ 向組織客戶或合作伙伴傳達隱私合規價值,從而使組織實現長期、持久的個人隱私安全合規化發展;
○ 基于國際標準統一框架可以降低合規溝通成本,向公眾傳達組織的可信度;
○ 使組織向他的管控組織、合作方、顧客和員工產生傳達更強有力的信賴感,獲得大量的機會。
