ISO发布最新国际标准 ISO/IEC 27701 个人信息安全管理体系
近日,国际标准化组织ISO和国际电工委员会IEC联合发布了全新个人信息管理体系(PIMS)国际标准ISO/IEC 27701。该标准是在隐私保护方面对 ISO/IEC 27001 和ISO/IEC 27002 的扩展,针对保护可能受到个人信息收集和处理影响的隐私提供了更多相关指南。
现如今,从预约挂号到网上银行业务 — 服务的数字化、全球化以及个性化导致个人信息比以往更多地被收集和处理。随着新的服务机会涌现以及新市场参与者的出现,这一趋势在持续不断的增长。
有如此多不同的平台被人们作为日常工作和生活的一部分加以使用,在这些平台中个人信息被广泛收集。例如,移动应用程序、忠诚度计划、接联的设备以及基于位置的广告的激增。
这意味着我们经常在未经深思熟虑的情况下提供我们的数据,从而导致与以往相比,有更多数据被随意传播。无论是约会网站、电信服务提供商还是公共服务组织,我们几乎每天都看到有关个人信息被泄露的新闻事件。这使得对个人信息滥用问题的关注不断增强,也意味着组织对此决不能掉以轻心。
鉴于我们运营所处的环境在不断变化,针对组织应当如何管理和处理数据,以减少个人信息风险的相关指南变得愈发重要。因此,以新国际标准的形式提供的有关组织应当如何管理个人信息,并帮助其证明对全球最新隐私法规的遵从的指南具有非常强大的影响力。这是面向信息管理的 ISO/IEC 27701 应运而生的原因所在。
ISO/IEC 27701标准建立在ISO/IEC 27001要求的基础之上,在隐私方面提供了必要的额外要求。规定了建立、实施、维护和持续改进隐私相关所特定的信息安全管理体系的要求。换句话说,就是保护个人信息的管理体系(以下简称PIMS)。
ISO/IEC 27701标准的正文由8个条款组成,其中:
条款1-4,给出了标准范围、术语、定义等
条款5给出了ISO 27001相关的PIMS要求
条款6给出了ISO 27002相关的PIMS指南
条款7给出了针对PII控制者的ISO 27002扩展指南
条款8给出了针对PII处理者的ISO 27002扩展指南
附录A,针对PII控制者的PIMS特定的控制目标和控制措施
附录B,针对PII处理者的PIMS特定的控制目标和控制措施
附录C,与ISO/IEC 29100的对应
附录D,与GDPR的对应
附录E,与ISO/IEC 27018和ISO/IEC 29151的对应
附录F,如何在ISO/IEC 27001和ISO/IEC 27002的基础上实施ISO/IEC 27701
ISO 27701的前身为ISO/IEC 27552,由ISO/IEC技术委员会ISO/IEC JTC1/SC 27, Information security, cybersecurity and privacy protection第五工作组开发,该工作组由来自世界各地的数据保护机构、安全机构、学术界和工业界的专家组成。
几乎每个组织都处理个人身份信息(PII),保护PII不仅是法律要求,也是社会需要。随着与隐私和数据保护相关的投诉和罚款数量的增加,对这一标准的需求现在是显而易见的。法国保护个人资料独立监察机构国家资讯及自由委员会的Matthieu Grall是SC 27的积极参与者,并对该标准的发展作出了贡献。他说,随着越来越严格的数据保护要求和法律,我们看到了对这一标准的强烈需求。此外,组织需要给他们的监管机构、合作伙伴、客户和雇员带来信任。这样的标准将有力地促进这种信任。